이벤트 분석 자동화

기존
– 이벤트 탐지 후 분석은 사람이 한다.
– 분석을 자동화 할려면 엔드 포인트로그를 수집해야 한다.
– 엔드 포인트로그를 수집할려면 많은 비용이 든다.
– 다시 원점으로 돌아와서 사람이 분석한다.
 
변경
– sysmon으로 엔드포인트 로그를 저장한다.
– 저장된 로그를 파일비트를 사용해서 elasticsearch에 저장한다.
– 이벤트 탐지 후 해당 이벤트를 팬텀으로 전송한다.
– 팬텀에서 dbxquery로 elasticsearch의 데이터를 분석 후 조치한다.