Incident Response
Incident Response AI는 초기 분류부터 차단, 복구, 사후 분석에 이르기까지 incident 라이프사이클 전반에 걸쳐 지능형 자동화 및 가이드를 제공합니다.
주요 기능
- 자동 분류: AI 기반 incident 심각도 평가 및 범주화
- 동적 Playbook: incident 유형과 심각도에 따른 컨텍스트 인식 대응 playbook 생성
- 증거 관리: 증거 보관 체계(chain of custody) 추적을 통한 자동 증거 수집
- 차단 가이드: 위협 분석을 기반으로 한 권고 차단 조치
- 협업: 자동 이해관계자 알림 및 커뮤니케이션 템플릿
- 교훈 도출: 사후 분석 및 보안 개선 권고
Incident 라이프사이클
1. 분류
incident가 생성되면 (수동 또는 에스컬레이션된 alert에서) AI가 다음을 수행합니다:
- 지표 및 비즈니스 영향을 기반으로 심각도 평가
- 공격 유형 식별 및 MITRE ATT&CK 매핑
- 영향받는 자산 및 잠재적 피해 범위 파악
- 초기 대응 우선순위 권고
2. 조사
능동적 조사 중:
- 검토할 관련 데이터 소스 제안
- 타임라인 전반에 걸쳐 관련 alert 및 이벤트 상관분석
- 침해 지표(IOC) 식별
- 위협 인텔리전스를 통한 컨텍스트 분석 제공
3. 차단 (MDR, PRO & CUSTOM 티어)
확인된 위협에 대해:
- 위협 유형에 따른 차단 조치 권고
- 격리 및 차단 권고 생성
- 지속성 메커니즘 모니터링
- 차단 효과 검증
4. 복구
차단 이후:
- 복구 체크리스트 제공
- 시스템 복원 단계 권고
- 추가 예방 통제 제안
- 복구 진행 상황 추적
5. 사후 분석
해결 이후:
- 포괄적인 incident 보고서 생성
- 탐지 및 대응의 갭 식별
- 탐지 규칙 개선 권고
- 향후 참고를 위한 지식 베이스 항목 생성
서비스 티어별 기능
| 기능 | FREE | MDR | PRO | CUSTOM |
|---|---|---|---|---|
| Alert 문서화 | Yes | Yes | Yes | Yes |
| 능동적 대응 | No | Yes | Yes | Yes |
| 차단 | No | Yes | Yes + Advanced | 완전 커스터마이즈 |
| 커스텀 Playbook | No | No | Yes | Yes |
| 전담 대응 | No | No | 4시간 SLA | 1시간 SLA |