본문으로 건너뛰기
KYRA MDR KYRA MDR Docs

탐지 콘텐츠 라이프사이클

개요

KYRA MDR은 3,200개 이상의 탐지 규칙을 유지하며 환경의 위협을 지속적으로 모니터링합니다. 이 페이지에서는 탐지 콘텐츠의 개발, 테스트, 배포, 폐기 과정을 설명합니다.

탐지 콘텐츠란?

탐지 콘텐츠는 다음을 포함합니다:

  • 탐지 규칙 — 수신 이벤트를 실시간으로 분석하고 알림을 생성하는 규칙 (Sigma 형식 기반)
  • 위협 사냥 쿼리 — Threat Hunting AI가 숨겨진 위협을 찾기 위해 사용하는 사전 검색 쿼리
  • ML 모델 — 행동 이상 탐지 및 오탐 필터링을 위한 머신러닝 모델

라이프사이클 단계

모든 탐지 규칙은 다음의 정의된 라이프사이클을 거칩니다:

flowchart LR
    DEV[개발] --> TEST[테스트]
    TEST --> STG[스테이징]
    STG --> PROD[운영]
    PROD --> DEP[폐기 예정]
    DEP --> RET[폐기]

1. 개발

탐지 엔지니어는 다음을 기반으로 새로운 규칙을 생성합니다:

  • 새로운 위협 인텔리전스 및 CVE
  • MITRE ATT&CK 기법 커버리지 부족 영역
  • 고객 보고 위협 및 니어미스 사례
  • 위협 환경 변화

각 규칙에는 MITRE ATT&CK 매핑, 심각도 분류, 테스트 케이스가 포함됩니다.

2. 테스트

규칙은 스테이징 환경에서 이력 데이터를 기반으로 검증됩니다:

  • 30일 데이터셋에 대해 실행하여 오탐률 측정
  • 성능 영향 평가 (탐지 지연 시간 5초 이내 유지 필수)
  • Critical/High 심각도 규칙의 오탐률 5% 미만, Medium/Low는 10% 미만 필수

3. 스테이징

규칙이 최종 검증을 위해 스테이징 환경에 배포됩니다:

  • SOC 분석가가 알림 품질 및 보강 정보 검토
  • PRO 및 CUSTOM 요금제 고객은 운영 배포 전 새 규칙을 미리 확인 가능
  • 새 규칙에 맞는 대응 플레이북 생성 또는 업데이트

4. 운영

운영 중인 활성 규칙은 지속적으로 모니터링됩니다:

  • 알림 볼륨 추이 및 오탐률 추적
  • 성능 메트릭 (처리 지연, 리소스 사용량)
  • 고객 피드백을 튜닝에 반영

운영 규칙 SLA:

메트릭목표
알림 처리 시간5분 이내
오탐 대응4시간 이내
규칙 수정 (튜닝)24시간 이내
긴급 문제 해결2시간 이내

5. 폐기 예정

다음 경우 규칙이 폐기 예정으로 전환됩니다:

  • 더 나은 탐지 규칙으로 대체된 경우
  • 오탐률이 15%를 초과하고 개선할 수 없는 경우
  • 해당 위협 기법이 더 이상 유효하지 않은 경우

고객에게는 규칙 폐기 60일 전 사전 통지와 대체 규칙 정보가 제공됩니다.

6. 폐기

폐기된 규칙은 비활성화됩니다. 폐기된 규칙이 생성한 과거 알림은 데이터 보존 기간 내에서 계속 조회할 수 있습니다.

심각도 수준

각 탐지 규칙에는 알림 우선순위 및 대응 SLA를 결정하는 심각도가 할당됩니다:

심각도설명예시
Critical즉각 대응이 필요한 확인된 활성 위협랜섬웨어 실행, 활성 데이터 유출
High긴급 조사가 필요한 강력한 침해 지표측면 이동, C2 통신
Medium위협을 나타낼 수 있는 의심스러운 활동비정상 인증 패턴, 정책 위반
Low검토가 필요할 수 있는 정보성 활동설정 변경, 새 장치 연결
Info맥락 파악 및 상관분석을 위한 기준 이벤트성공적인 로그인, 일상적 시스템 이벤트

알림 생성 과정

  1. 이벤트 수집 — 연결된 소스(방화벽, EDR, 클라우드 등)에서 로그가 수신됩니다
  2. 규칙 평가 — 이벤트가 모든 활성 탐지 규칙에 대해 실시간으로 평가됩니다
  3. AI 분류 — Alert Triage AI가 매칭 결과를 맥락 정보로 보강하고, 심각도를 평가하며, 오탐을 필터링합니다
  4. 알림 생성 — 확인된 매칭은 MITRE ATT&CK 매핑, 영향 자산, 권장 조치가 포함된 알림을 생성합니다
  5. 알림 전송 — 알림이 콘솔에 표시되고 설정된 채널(이메일, Slack, 웹훅)을 통해 전송됩니다

AI 지원 탐지

플랫폼은 AI를 사용하여 탐지 품질을 지속적으로 개선합니다:

  • 오탐 패턴 탐지 — 구조적 오탐 원인을 식별하고 튜닝을 제안합니다
  • 최적화 권장 — 규칙 개선을 위한 AI 생성 제안을 제공합니다
  • 자연어 설명 — 분석가를 위한 탐지 로직의 자연어 설명을 제공합니다

긴급 규칙 배포

치명적 제로데이 위협의 경우, KYRA MDR은 몇 시간 내에 새로운 탐지 규칙을 운영 환경에 긴급 배포할 수 있습니다. 긴급 규칙은 가속화된 테스트를 거치며, 배포 후 24시간 이내 필수 검토가 수행됩니다.