Threat Hunting
Threat Hunting AI는 보안 분석가가 선제적 위협 헌팅 활동을 수행하는 것을 지원합니다. 헌팅 가설을 생성하고, 검색 쿼리를 작성하며, 패턴을 분석하고, 체계적인 헌팅 워크플로우를 통해 분석가를 안내합니다.
주요 기능
- 가설 생성: 환경에 맞춤화된 MITRE ATT&CK 기반 헌팅 가설
- 자동 검색: 데이터 소스와 시간 범위에 맞는 검색 쿼리 생성
- 이상 탐지: 이상치를 식별하기 위한 통계적 및 행위 분석
- 가이드 워크플로우: 컨텍스트 안내가 포함된 단계별 헌팅 절차
- 지식 베이스: 지속적으로 업데이트되는 TTP(전술, 기법, 절차) 라이브러리
헌팅 워크플로우
1. 가설 수립
AI가 다음을 기반으로 헌팅 가설을 생성합니다:
- 현재 위협 환경 및 트렌딩 TTP
- 조직의 산업 및 위협 프로필
- 과거 incident 및 아차사고(near-miss)
- 위협 인텔리전스 alert 및 권고
- MITRE ATT&CK 기법 커버리지 갭
2. 데이터 수집
각 가설에 대해:
- 관련 데이터 소스 식별 (로그, NDR, EDR, cloud sensor)
- 최적화된 검색 쿼리 생성
- 시간 범위 및 범위 정의
3. 분석
헌팅 중:
- 통계적 이상 및 행위 이상치 강조
- 여러 데이터 소스 간 발견 사항 상관분석
- 위협 인텔리전스를 통한 컨텍스트 강화 제공
- 잠재적 공격 체인 및 측면 이동 식별
4. 발견 사항 및 대응
위협이 발견되면:
- 상세한 발견 사항 문서 작성
- 탐지 규칙 생성을 위한 IOC 생성
- 즉각적인 대응 조치 권고
- 발견 사항을 집단 인텔리전스 베이스에 반영
헌팅 라이브러리
MITRE ATT&CK별로 구성된 사전 구축 헌팅 패키지:
| 전술 | 헌팅 예시 |
|---|---|
| Initial Access | 비정상 인증 패턴, 피싱 캠페인 지표 |
| Execution | 의심스러운 프로세스 체인, 스크립트 실행 이상 |
| Persistence | 레지스트리 수정, 예약 작업 변경, 서비스 설치 |
| Privilege Escalation | 비정상 권한 부여, 토큰 조작 지표 |
| Defense Evasion | 로그 갭, 도구 비활성화, 위장(masquerading) 지표 |
| Lateral Movement | 비정상 RDP/SMB/SSH 패턴, pass-the-hash 지표 |
| Collection | 비정상 파일 접근 패턴, 데이터 스테이징 지표 |
| Exfiltration | 비정상 아웃바운드 데이터 볼륨, DNS 터널링 지표 |
| Command & Control | 비커닝 패턴, 비정상 암호화 채널 |
이용 가능 여부
선제적 위협 헌팅은 PRO 및 CUSTOM 티어에서 이용 가능합니다. FREE 및 MDR 티어 고객은 자동 탐지를 제공받지만 선제적 헌팅 기능은 포함되지 않습니다.