SIEM 글로벌 No.1 Splunk – 모니터링부터 SoC자동화까지 “Splunk SoC Suite으로 스윗하게 해결해드립니다.”

어제 시간이 남아서 웨비나를 들었다. 주 내용은 Splunk의 제품들로 모니터링부터 SoC 자동화할 수 있는 방법에 대한 것이다.

데이터 흐름은 Splunk에서 수집된 정보를 기반으로 Data Model을 만들고, 해당 모델을 Enterprise Security 앱에서 활용하는 형태다.

탐지는 상관검색에서 탐지 시나리오를 걸면 Notable Event가 생성되고, 해당 이벤트를 이용해서 사고 조사를 한다.

사고 조사를 할때 워크벤치에서 상세 내용을 확인 할 수 있다.

여기에 Adaptive Response를 활용해서 자동화를 할 수 있다.

이것도 부족하면 Phantom으로 자동화 할 수 있다.

그리고 이상징후 탐지는 UBA로 할 수 있는데, 비지도 학습을 통해서 2단계로 탐지를 하기 때문에 오탐이 줄어들 가능성이 있다.

 

그런데,, UBA는 한글 지원안된다고 하는데, 이젠 해결되었나보다.

아,, 그리고 vCPU 기반 라이센스 정책도 추가되었다고 한다.