주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=detection-pipeline

통합 감지 파이프라인

  • 원격 측정 여정과 파이프라인

    **** 통합의 원격 측정 여정에서 이 페이지에 도달했다면 알아야 할 사항은 다음과 같습니다.

    • **** 저널의 데이터 수집은 여기서 "수집 및 필터" 단계를 나타냅니다.
    • **** 저널의 데이터 처리는 여기서 "정리", "상관 관계" 및 "에스컬레이션" 단계를 나타냅니다.

이 페이지에서는 Sophos 제품 통합이 탐지를 수집, 필터링, 정리, 상관 관계 분석 및 에스컬레이션하는 방법을 설명합니다.

Sophos MDR 및 XDR 감지 파이프라인 다이어그램.

1단계: 인제스트 및 필터

우리는 원격 측정을 수집하고 원치 않는 소음을 걸러냅니다.

다음 방법 중 하나로 이 작업을 수행합니다.

  • 온프레미스: 고객 네트워크의 로그 수집기는 Sophos Central에 경고를 전달합니다.
  • 클라우드에서: API가 Sophos Central에 알림을 보냅니다.

참고

모든 사용자에 대한 서비스의 연속성을 보호하기 위해 Sophos는 때때로 고객의 데이터 입력을 필터링하거나 샘플링합니다. 이는 수집 단계와 처리 단계에서 경고 볼륨 간의 일시적인 차이로 나타납니다. 또한 데이터를 다시 대기열에 추가하여 고객에게 포괄적인 적용 범위를 제공하기 위해 다시 처리할 수 있습니다.

2단계: 정리

우리가 수집하는 데이터는 표준화되지 않았기 때문에 Sophos는 일관되고 정규화된 스키마로 처리하기 시작합니다.

3단계: 상관 관계

이제 관련성이 없어 보이는 원시 경고를 관련 경고 클러스터로 그룹화하기 시작합니다.

알림을 그룹화할 때 다음 기준을 사용합니다.

  • 각 경고 클러스터가 관련 작업을 나타내는 것을 목표로 합니다.
  • MITRE ATT&CK 기법과 유사한 IOC(Indicator of Compromise) 또는 엔터티를 기반으로 시간을 기준으로 경고를 그룹화합니다.
  • MITRE 프레임워크를 사용하여 특정 위협 사용 사례에 따라 이벤트를 그룹화할 수 있습니다.

4단계: 에스컬레이션

이제 논리에서는 추가 조사를 위해 분석가에게 에스컬레이션할 클러스터를 결정합니다.

필요한 경우 분석가가 조사하고 고객에게 조사에 대해 알립니다.

우리는 일반적으로 다음과 같은 정보를 제공합니다 :

  • 사고에 대한 설명입니다.
  • 가장 심각한 위협을 나타내는 것으로 보이는 특정 경고 세부 정보
  • 위협에 처한 특정 인프라.
  • 이벤트가 발생한 특정 시간입니다.
  • 위협의 심각도에 대한 판단(심각한 문제인지 오탐인지 여부, 모든 경고의 조치 여부)
  • 모든 완화 단계.