ESG(Enterprise Strategy Group)의 2023년 보고서에 따르면, 보안 운영 센터(SOC)팀의 62%가 SIEM 시스템 내에서 대용량 로그 데이터를 저장하고 관리하는 데 드는 비용이 증가함에 따라 비용 효율적인 솔루션을 찾고 있다. 또한, 사이버 위협의 증가하는 복잡성과 규모로 인해 AI를 활용하여 모든 수준의 보안 분석가들이 일반 언어를 사용하여 경보의 심각성과 우선순위를 더 잘 이해해 더 빠른 의사결정을 할 수 있도록 해야 한다.

이에 네트워크 탐지 및 대응(NDR) 솔루션 공급업체인 코어라이트(Corelight)는 SaaS 솔루션인 코어라이트 인베스티게이터(Corelight Investigator)의 새로운 기능 세트인 ‘가이디드 트리아지(Guided Triage)’를 공개했다. 가이디드 트리아지는 인공지능(AI)을 활용하여 전문가 수준의 데이터 통찰력을 일반 언어로 신속하게 제공해 분류 작업을 가속화하고, SIEM 수집 요구사항과 관련 비용을 줄이며, 분석가의 기술 격차를 해소한다.

코어라이트는 대규모 언어 모델(LLM)을 적용하여 네트워크 활동과 공격 페이로드를 요약하고, 패킷 캡처 및 단일 화면 분류 기술을 통해 비용을 절감하고 사고 대응을 크게 가속화한다.

가이디드 트리아지가 포함된 코어라이트 인베스티게이터는 단순화된 AI 기반 요약으로 발견 및 상관관계 파악 속도를 높여 사고 대응 기술과 지식을 신속하게 향상시킬 수 있다. 이 새로운 기능은 단일 화면 분류를 통해 사전 상관관계가 파악된 맥락을 쉽게 평가하고 더 깊은 조사를 위해 원시 데이터로 신속하게 전환할 수 있다.

가이디드 트리아지의 주요 기능은 다음과 같다.

⦁전체 분류 이력 : 모든 경고는 원래 탐지의 맥락에서 나타나 해당 위협에 대한 지식을 구축한다. 분석가들은 진양성(TP)과 위양성(FP) 이력, 결정을 내린 팀원들, 그리고 향후 의사결정을 조정하고 자동화하는 데 도움이 되는 메모를 쉽게 볼 수 있다.

⦁대화형 시각적 타임라인 : 관련된 소스 및 대상 시스템의 모든 탐지에 대한 내용을 독특하게 표현하여 일관된 스토리를 만들어 분석가가 시퀀스에서 관련 경보를 놓치지 않도록 한다.

⦁원시 네트워크 데이터에 쉽게 접근 : 수리카타(Suricata) 페이로드와 PCAP 링크는 원클릭으로 쉽게 보고 접근할 수 있어, 로그 검색을 사용할 필요가 없고 중요한 워크플로우를 간소화한다.

코어라이트의 제품 부문 부사장인 비짓 나이어(Vijit Nair)는 “SOC 분석가들이 검토하고 수동으로 상관관계를 파악해야 했던 엄청난 데이터의 양으로 인해 어떤 경고가 해결하는 데 가장 중요한지 신속하게 판단하기 어려울 수 있다. 경우에 따라서는 공격의 전체 맥락을 파악하고 사고 대응에 대한 더 나은 정보를 제공하기 위해 가장 경험이 풍부한 분석가의 검토가 필요하다. 코어라이트는 필요한 모든 맥락과 함께 일반 언어로 된 요약 및 원시 데이터에 쉽게 접근할 수 있는 단일 인터페이스를 만듦으로써, 분석가의 피로도를 줄이고, 사고 대응 속도를 높이며, SOC 팀의 모든 수준에 권한을 부여한다.”고 말했다.

[알림] ‘GTT KOREA’와 ‘전자신문인터넷’이 공동으로 주최하는 “NSWS(Next Smart Work Summit) 2024”에서는 글로벌 스마트워크 솔루션 선도 기업들이 참여하여 최신 기술과 시장 동향, 그리고 기업이 당면한 문제의 해결 방안을 심도 있게 다룰 예정이다. 이번 서밋에서는 AI와 스마트워크를 활용한 혁신적인 업무 환경 구축 및 활용 전략 공유와 함께 전시 부스를 통해 기업에 필요한 다양한 스마트워크 활용법을 구체적으로 체험해 볼 수 있는 장도 마련된다.