Splunk User Behavior Analytics(UBA) : MDS테크

머신 러닝 기반의 사이버 공격 및 내부자 위협 탐지

Splunk User Behavior Analytics UBA

Splunk UBA는 머신 러닝과 고급 분석 기술을 활용하여 조직 내부의 사용자 행동을 지속적으로 모니터링하고, 비정상적인 활동과 내부자 위협을 자동으로 탐지합니다. 킬 체인 분석을 통해 복잡한 APT 공격을 시각화하고, 사용자 정의 없이도 새로운 위협을 학습하여 탐지하는 지능형 보안 솔루션입니다.

특징 Features

지속적인 위협 모니터링 자동 실행

킬 체인(Kill chain)을 따라 위협을 시각화하고 증거를 제공
분석 기반의 워크플로우를 통해 비정상적인 행위를 조사하고, 정책 위반과 잠재적인 데이터 유출 의도를 확인
Splunk Enterprise의 방대한 데이터를 활용하는 머신러닝, 통계 프로파일링, 기타 이상 탐지 기술 제공

내부자 이상 행위 및 위협 탐지

사용자 학습을 통한 UBA 모델 기반 사용자 정의
사용자가 별도의 룰을 입력하지 않아도 신규 공격 탐지 (약 2주의 학습 기간 필요)

자동 스코어링

머신러닝 기법과 고급 분석기능을 통한 내부 위협을 탐지

기능 Functions

UBA 대시보드

비정상적인 사용자, 장치, 애플리케이션에 대한직관적인 통합 대시보드제공
통합 대시보드 제공으로 사용자 위협을 드릴 다운 형태로 쉽고 빠르게 확인
조직 내 발견되는 위협을 시각화하여 높은 수준으로 요약

위협 검토 및 탐지

공격 기간 동안 관측된 이상 징후에 대해 사용자, 장치, 애플리케이션 정보를 모두 포함하여 표시
고급 연계분석, 셀프러닝, 머신러닝등을 사용하여 주요 위협 식별
사용자 피드백 학습

킬 체인(Kill Chain) 탐지 및 공격 경로 파악

비정상적인 APT 및 보안 침해(예: CnC, Lateral Communication)와 같은킬 체인 공격을 식별
멀웨어나 악의적인 내부자 확산의 패턴을 탐지하고, 이상 작동 발생 시 실시간으로 대응

사용자 중심의 이상 징후 모니터링

조직 내에서 프로파일링된 전체 사용자의 행동을 강조하여 표시
위협별로 사용자를 식별하고, 맵핑하여시각화된 대시보드 제공
멀웨어 감염 사용자 계정 및 디바이스 상태를 Flow 차트로 제공

장점 Advantages

다양한 데이터 소스

보안 제품, 애플리케이션, 호스트/서버/기타 엔드포인트 디바이스 등 머신 데이터를 생성하는 모든 인프라에서 수집한 다양한 데이터 소스를 통해 공격과 위협에 대한 연계 분석 및 패턴 감지가 가능합니다.

보안 분석가의 업무 효율 향상

멀웨어 또는 악성 프로그램의 활동 및 이벤트 확인이 가능하며, 지능형 위협 및 멀웨어 감염과 관련하여 해킹된 호스트를 탐지합니다. 복잡한 상관 관계 룰을 생성할 필요 없이 새로운 위협을 모니터링할 수 있습니다.

Splunk Enterprise Security(ES)와 연동 가능

UBA 보안 도구와 보안 분석 툴이 결합함으로써 조직 내부에 대한 보안 기능을 강화할 수 있습니다.