팔로우 
문제: 대규모로 위협 탐지를 달성하는 문제
SOC Prime에서 우리는 모든 규모의 조직이 탐지 엔지니어링을 쉽게 할 수 있도록 10년 넘게 노력해 왔습니다. 매년 위협이 증가하고 환경이 복잡해짐에 따라 전통적인 접근 방식은 SOC 관리자를 도달할 수 없는 커버리지를 책임지는 불가능한 상황에 놓이게 합니다. 이는 그들이 가진 도구와 팀으로는 달성할 수 없는 것입니다. DetectFlow는 엔지니어링 부담 없이 대규모로 탐지를 배포할 수 있는 길을 제공합니다. 이 솔루션은 다음과 같은 문제를 해결합니다:
- 팀이 소음을 처리하느라 위협을 발견하지 못하는 문제: 오탐이 분석가를 압도하여 진짜 신호를 놓치게 만듭니다. 알림 피로는 사람의 문제가 아니라 시스템의 문제입니다
- 탐지 커버리지에는 해결할 수 없는 한계가 있습니다: 512개 이하의 규칙으로 운영하면 팀은 MITRE ATT&CK 매트릭스 전반에 걸쳐 사각지대를 가지게 되며 이는 인원 추가만으로 해결할 수 없습니다
- 팀이 위협을 보게 될 때쯤이면 공격자는 이미 움직였습니다: 일괄 처리로 인해 분 단위에서 시간 단위의 탐지 지연이 발생하여 통제 가능한 사건이 위반이 되게 합니다
- SIEM 예산이 필요하지 않은 데이터에 의해 소비됩니다: 테라바이트 규모로 원시 로그를 강제 수집하여 저장 비용이 리더십에 정당화할 수 없게 만듭니다
DetectFlow 적용: 비용 절감 및 속도 증가
DetectFlow는 위협 탐지의 경제학과 속도를 근본적으로 변화시킵니다. 원시 혼돈을 수집하여 나중에 분류하는 대신, DetectFlow는:
- 테라바이트 규모의 원시 로그 데이터를 기가바이트 규모의 깨끗하고 라벨이 붙은 이벤트로 즉시 압축합니다, SIEM에 닿기 전
- 탐지는 실시간으로, 초고속으로 이루어지며 50,000개 이상의 규칙이 실시간으로 적용되어 평균 탐지 시간을 0.005–0.01초로 줄입니다
- 전체 데이터 파이프라인을 수집 전에 관리 및 필터링하여 SIEM이 정규화되고 태그가 부여된, 사전 검증된 이벤트만을 받게 함으로써 SIEM 비용을 극적으로 최적화합니다: 노이즈가 아닌 신호를 저장하고 분석하기 위해 비용을 지불하는 것입니다.
최종 목표: 전체 이야기를 전하는 공격 체인
DetectFlow가 진정으로 자신을 구분할 수 있는 점은 중요한 것을 표면화하는 방식에 있습니다. 분석가에게 수천 개의 분리된, 낮은 맥락의 알림을 수동으로 상관관계 지으라고 넘겨주는 대신, DetectFlow는:
- 그 소음을 높은 확률의 공격 체인으로 압축된 대기열로, 적의 활동을 기가바이트 단위로 요약한 AI 생성 요약과 함께 제공합니다.
- 위협 추론은 실시간으로 발생하며, 서로 다른 벡터와 호스트네임 간의 활동을 자동으로 상관관계지어 수동 조사가 필요 없습니다.
- 출력은 알림 목록이 아니라 결정입니다. 경험 수준에 관계없이 모든 분석가는 위반의 전체 범위를 즉시 이해하고 대응에 직접 나설 수 있습니다.
자세히 알아보려면 DetectFlow 개요 페이지로 이동하십시오.
FAQ
DetectFlow는 SIEM 비용을 어떻게 줄이나요?
DetectFlow는 SIEM의 상류에 위치하여 이벤트 스트림을 수집 전에 처리합니다. 이는 원시 로그 데이터를 원래 부피의 약 7%로 압축하고, 노이즈를 제거하며, 정규화된 위협 태그가 부여된 이벤트만 SIEM에 전달합니다. 그 결과 SIEM 라이선스 및 저장 비용은 원시 부피가 아닌 신호에 대해 계산됩니다. 대규모로 수집하는 조직의 경우, 그것은 지속 가능한 보안 예산과 CFO에게 방어할 수 없는 예산의 차이가 될 수 있습니다.
MTTD란 무엇이며 DetectFlow는 이를 어떻게 개선하나요?
MTTD(평균 탐지 시간)는 팀이 활성화된 위협을 식별하는 데 걸리는 시간을 측정합니다. 전통적인 SIEM 아키텍처는 일괄 처리를 사용하는데, 이는 탐지 쿼리가 지연 상태로 실행되어 이벤트 발생 후 종종 15분 이상 소요됩니다. DetectFlow는 실시간으로, 라이브 데이터 스트림에 직접 탐지 규칙을 적용하여 MTTD를 0.005초에서 0.01초 사이로 줄입니다. 실용적으로 그것은 공격자가 첫 번째 움직임에서 탐지되는 것과 횡적 이동이 이미 발생한 후 위반이 발견되는 것의 차이를 의미합니다.
왜 우리는 SIEM에 더 많은 탐지 규칙을 추가할 수 없나요?
대부분의 엔터프라이즈 SIEM은 동시에 실행할 수 있는 규칙 수에 한계가 있습니다. 예를 들어 Microsoft Sentinel은 512개로 제한됩니다. 규칙 제한을 초과하면 추가되는 규칙마다 쿼리 부담이 증가하고 탐지가 느려지며 비용이 증가합니다. DetectFlow는 파이프라인 계층에서 Apache Flink를 사용하여, 이러한 제약 없이 수만 개의 시그마 규칙을 동시에 적용할 수 있습니다. 이는 SIEM 아키텍처 내에서 해결할 수 없는 MITRE ATT&CK 커버리지 격차를 팀이 메울 수 있게 합니다.
DetectFlow가 기존 SIEM을 대체합니까?
아니요. DetectFlow는 기존 SIEM과 통합되며 이를 대체하지 않습니다. 이는 수집 전에 Kafka 파이프라인 계층에 위치하여 SIEM은 기존의 연결을 사용하여 더 깨끗하고 미리 강화된, 위협 태그가 부여된 이벤트를 받게 됩니다. 분석가는 친숙한 대시보드에서 계속 작업합니다. 그들이 주목하는 변화는 더 나은 데이터 품질, 줄어든 오탐, 더 빠른 조사이지 새로운 도구를 배우는 것이 아닙니다.
‘공격 체인’이라는 의미는 무엇이며 팀에 왜 중요합니까?
공격 체인은 DetectFlow가 개별 알림 대신 서로 관련된 위협을 표면화하는 방식입니다. 수만 개의 개별 이벤트를 분석가에게 수동으로 조사하도록 넘기는 대신, DetectFlow는 AI를 사용하여 서로 다른 벡터와 호스트네임 간의 활동을 하나의 우선순위가 매겨진 대기열로 압축하고, 적이 무엇을 하고 있는지를 세 문장으로 요약합니다. 이는 SOC 관리자가 진행 중인 공격에 대해 일관된 이야기를 조정하며 수 시간의 조사를 필요로 하기 전에 상황을 명확히 하는 연결된 신호의 집합이 아닌 것입니다.
