로그프레소
언어 모델을 활용한 보안 경보의 정탐 또는 오탐의 분석 방법
Methods for Analyzing True Positive or False Positive Security Alerts Using Language Models
특허 요약
본 발명은, 로그 수집 모듈과, 위협 탐지 모듈과, 티켓 관리 모듈과, 플레이북 실행 모듈과, 페이로드 특징 추출 모듈과, 정오탐 판정 모듈과, 언어 모델을 포함하는 환경에서 실행되는 보안 경보 정오탐 분석 방법에 관한 것으로서, 상기 보안 경보 정오탐 분석 방법은, 보안 시스템이 전송한 경보 페이로드를 로그 수집 모듈이 수집하는 제1 단계와; 위협 탐지 모듈이 위협 탐지 정책의 구성에 따라 로그 수집 모듈에서 수신한 페이로드를 대상으로 특징을 분석 태그로 추출하는 제2 단계와; 위협 탐지 모듈이 위협 탐지 정책의 구성에 따라 페이로드 분석 태그를 기반으로 정오탐 판정 모듈을 이용하여 정오탐을 분류하고 이에 근거하여 티켓 관리 모듈을 통해 티켓을 생성하는 제3 단계와; 플레이북 실행 모듈이 플레이북 구성에 따라 정오탐 판정과 분석 태그 목록을 자연어 기반의 설명으로 변환하도록 언어 모델에 질의하는 제4 단계와; 플레이북 실행 모듈이 제4 단계에서 언어 모델의 출력으로 생성된 분석 내용을 티켓 관리 모듈을 통해 티켓에 기록하는 제5 단계를 포함한다.
청구항
| 번호 | 청구항 |
|---|---|
| 1 | 로그 수집 모듈과, 위협 탐지 모듈과, 티켓 관리 모듈과, 플레이북 실행 모듈과, 페이로드 특징 추출 모듈과, 정오탐 판정 모듈과, 언어 모델을 포함하는 환경에서 실행되는 보안 경보 정오탐 분석 방법에 있어서,보안 시스템이 전송한 경보 페이로드를 로그 수집 모듈이 수집하는 제1 단계와,위협 탐지 모듈이 위협 탐지 정책의 구성에 따라 로그 수집 모듈에서 수신한 페이로드를 대상으로 특징을 페이로드의 컨텍스트에 기반하여 분석 태그로 추출하는 제2 단계와,위협 탐지 모듈이 위협 탐지 정책의 구성에 따라 페이로드 분석 태그를 기반으로 정오탐 판정 모듈을 이용하여 정오탐을 분류하고 이에 근거하여 티켓 관리 모듈을 통해 티켓을 생성하는 제3 단계와,플레이북 실행 모듈이 플레이북 구성에 따라 정오탐 판정과 분석 태그 목록을 자연어 기반의 설명으로 변환하도록 언어 모델에 질의하는 제4 단계와,플레이북 실행 모듈이 제4 단계에서 언어 모델의 출력으로 생성된 분석 내용을 티켓 관리 모듈을 통해 티켓에 기록하는 제5 단계를 포함하는,보안 경보 정오탐 분석 방법. |
