Purple AI | AI를 활용한 위협 사냥, 조사 분석, 인시던트 대응으로 사이버 보안 분석가 지원

위협 사냥, 조사 분석, 인시던트 대응에 특화된 생성 AI인 ‘Purple AI’는 오픈 소스와 독자 개발의 다양한 모델을 통해 대화 프롬프트와 양방향 대화를 통해 위협 식별, 조사 분석, 위험 경감이 가능한 AI 엔진을 보안 분석가에게 제공함으로써 조직의 효율성 향상을 목표로 하고 있습니다. 이 섹션에서는 Purple AI가 위협 사냥, 조사 분석 및 인시던트 대응에서 SOC 팀의 효율성과 효율성을 향상시키는 방법에 대해 설명합니다.

대화형 AI로 위협 사냥 간소화

위협 사냥에서 효과적인 결과를 얻기 위해 적절한 쿼리를 작성하는 것은 간단한 작업이 아닙니다. 겉보기 간단한 질문을 시스템이 이해할 수 있도록 변환하려면 분석가가 어떤 패턴을 찾아야 하는지 이해하고 손질 쿼리 구문에 익숙한 것이 중요합니다.

이전에는 답변을 얻기 전에 몇 시간의 조사와 여러 쿼리 (말할 필요도 없이 분석가의 오랜 경험)가 필요했지만 Purple AI를 사용하면 모든 질문에 대해 다양한 언어로 신속하고 정확하게 자세한 답변을 얻을 수 있습니다.

시각화 되어 있지 않은 것에 대책은 불가능

Purple AI를 사용하면 위협 사냥꾼이 특정 알려진 위협에 대해 질문하고 침해 징후에 대한 수동 쿼리를 작성하지 않고도 신속하게 답변을 얻을 수 있습니다.

예를 들어, 분석가는 “내 환경이 SmoothOperator에 감염되었습니까?”또는 “엔드 포인트에 SmoothOperator의 징후가 있습니까?”와 같은 프롬프트를 사용할 수 있으며 특정 위협을 추적합니다.

이 화면은 이전의 질문에 대해 Purple AI가 반환된 데이터 내에서 관찰된 동작과 식별된 이상에 따라 컨텍스트를 인식한 통찰력과 결과입니다. 권장되는 후속 질문과 최적의 다음 조치도 제공됩니다. SmoothOperator 예제의 경우 헌터는 다음 요약을 받을 수 있습니다.

“결과 분석 결과 SmoothOperator 악성코드가 탐지된 엔드포인트는 3개이며 모두 동일한 기업 사이트에서 발견되었습니다. 이 데이터는 멀웨어가 데스크톱 및 서버 엔드포인트 모두에 감염되었음을 나타냅니다. 이는 대규모 공격이 진행 중일 가능성을 나타내며 감염의 범위를 확인하기 위해 추가 조사를 수행하는 것이 중요합니다.
데이터는 감염된 장치의 일부에서 멀웨어가 여러 번 감지되었음을 나타냅니다. 예를 들어, 이 악성코드는 TheEnterprise라는 엔드포인트에서 22번 감지되었으며, 마지막으로 감지된 지 몇 시간 전입니다. 이는 악성코드가 장기 체류형이며 감염된 기기에서 잠시 동안 활동하고 있음을 시사합니다.”

계속해서 위협 사냥 담당자는 Purple이 제안한 추가 질문이나 사용자가 수동으로 입력하는 추가 질문을 던질 수 있습니다.

엔드포인트 “TheEnterprise”에서 영구 이벤트가 발생했습니까?

영향을 받은 컴퓨터에 이미 알려진 취약점이 있습니까?

영향을 받은 컴퓨터에서 활성 사용자를 확인하고 Okta 데이터를 확인하고 로그인이 성공했는지 확인하십시오. 로그온이 발생한 위치도 포함하십시오.

추가 질문에 대해, 시스템은 식별된 행동의 개요와 결과를 자동으로 반환한 다음 최적의 조사 질문과 대응 조치를 권장합니다.

위의 예에서는 마지막 질문에 대해 다음 작업을 하나 이상의 조합으로 트리거하는 제안이 이루어졌을 수 있습니다.

‘사용자 세션 지우기’, ‘사용자 Okta 계정 일시 중지’, ‘암호 강제 재설정’, ‘모든 네트워크에서 격리’, ‘영향을 받는 엔드포인트 식별’, ‘다른 엔드포인트에서 확인됨 비슷한 행동을 사용자에게 알리는 규칙을 만들고, 영향을받는 컴퓨터에서 최신 보안 로그를 수집합니다.

버튼을 한 번 클릭하면 분석가는 Purple AI와의 대화와 분석을 계속하면서 하나 이상의 작업을 트리거할 수 있습니다.

Purple AI는 SentinelOne Security DataLake의 모든 정보로 실행되며 다양한 SentinelOne XDR 통합을 통해 원 클릭 응답을 가능하게 합니다. 분석가가 묻는 한 가지 질문은 적절한 소스 또는 소스 조합에 대해 백그라운드에서 실행됩니다. 사용자가 다양한 데이터 소스나 데이터를 캡처하는 방법에 익숙하지 않아도 됩니다. 예를 들어, 분석가는 다음과 같이 물을 수 있습니다.

xmrig를 실행하는 ec2 인스턴스가 있습니까?

네트워크에 서버 유형의 연결이 끊긴 Linux 시스템 또는 Kubernetes 노드가 있습니까?

그런 다음 분석가는 다음과 같은 EDR 또는 XDR 작업을 트리거할 수 있습니다.

영향을 받은 모든 EC2 인스턴스를 검색하여 인시던트와 관련된 인스턴스에 아티팩트가 남아 있지 않은지 확인.

또는

감지된 코인 마이너 소프트웨어를 SentinelOne 블록 목록에 추가하고, 다시 다운로드되거나 다른 엔드포인트에서 실행되는 것을 방지.

보이지 않는 것을 시각화

그러나 어떤 경우에는 위협 사냥꾼이 무엇을 찾고 있는지 확실하지 않을 수 있습니다. Purple AI의 기능과 속도를 효과적으로 활용하고 내부 및 외부 리소스를 현명하게 활용함으로써 사용자는 자신이 정의하지 못한 의심스러운 행동에 대해 자연어로 질문할 수 있습니다.

예를 들어, Purple AI에게 다음과 같은 질문을 할 수 있습니다.

기밀 데이터 또는 파일에 액세스하려는 프로세스의 모든 인스턴스를 검색하고 이러한 액세스 시도의 소스를 조사합니다.

또는

공격자가 일반적으로 사용하는 모든 명령줄 도구를 검색하고 의심스러운 방식으로 사용되지 않았는지 조사합니다.”

분석가는 Purple AI를 활용하여 “X를 어떻게 식별할 수 있습니까?”라는 질문을 할 수 있습니다. 예:

웹 쉘의 가능성을 찾는 방법은 무엇입니까?

또는

LOLBins를 검색하는 방법은?

위는 간단하게 보일 수 있지만 Purple AI가 없으면 “기밀 데이터”, “일반적인 사용”또는 “의심스러운 방법”과 같은 모호한 용어를 패턴화하고 유용한 결과를 반환하는 쿼리 언어 구문 만들기 작업은 매우 어렵습니다.

위협 분석을 간단하게

경고 피로가 현대 보안 운영 센터(SOC)가 직면하는 가장 큰 과제 중 하나인 것으로 잘 알려져 있습니다. 대부분의 보안 팀은 조사하고 대응할 수 있는 양보다 많은 보안 경고를 받습니다. 그 문제가 데이터의 문제라는 것은 분명합니다. 문맥화 된 데이터를 실용적인 결과로 조립하고, 복수의 정보를 유의하게 연결하는 것으로, 처음으로 정보는 지식이 됩니다.

Purple AI는 보안 팀이 위협 사냥에 대한 복잡한 질문을 던지며 자연 언어를 사용하여 전체 기업 환경을 관리하는 운영 명령을 실행할 수 있다는 것 외에도 위협 조사 프로세스를 대폭 간소화할 수 있습니다.

Purple AI는 캡처된 데이터와 사이버 보안 도메인을 이해하므로 일련의 이벤트를 신속하게 결정하고 복잡해질 수 있는 상황을 분석가를 위한 요지를 작성합니다. SentinelOne의 특허 받은 기술인 Storylines와 Purple AI의 강력한 조합으로 분석가는 특정 행동과 관련된 모든 이벤트를 신속하게 찾을 뿐만 아니라 이러한 이벤트의 개요와 의심 수준을 즉시 얻을 수 있습니다.

Purple AI는 몇 초 내에 특정 행동에 대한 통찰력과 권장 사항을 제공하므로 다양한 이벤트를 수동으로 분석하여 상황에 맞는 스토리에 연결할 필요가 줄어듭니다. 이를 통해 분석가의 효율성이 크게 향상되고 훨씬 짧은 시간 내에 많은 경보를 조사하고 처리할 수 있습니다.

작동 중 Purple AI

다음은 SentinelOne Singularity 플랫폼에서 식별한 위협에 대해 작성된 요약의 예입니다.

이 이벤트의 분석에 따르면 SF East Bay Corp 사이트의 Windows 서버에서 실행되는 “TheBorg”라는 엔드포인트에서 잠재적으로 악의적인 동작이 발생했음을 시사합니다. 이 의심스러운 행동은 “ResistanceIsFutile.exe” 프로세스에 의해 시작되었습니다. 이 프로세스는 Unsigned이며 사용자의 데스크톱에 있습니다. 이 프로세스는 Microsoft Windows에서 Signed하고 SysWOW64 폴더의 다른 프로세스 “powershell.exe”를 시작했습니다.

Purple AI가 먼저 악의적인 행동이 감지되었고 어디에서 감지되었는지를 보여줍니다. 이것은 분석가가 공격이 얼마나 광범위하게 퍼져 있는지 이해하는 데 중요합니다. 이 예에서는 모든 악의적인 행동이 한 사이트에서 확인되었습니다. 사용자는 필요에 따라 추가로 드릴 다운하여 식별된 동작의 상세한 분석을 선택할 수 있습니다.

그런 다음 Purple AI는 SentinelOne이 동작을 악의적 인 것으로 분류 한 이벤트에 대한 자세한 분석을 표시합니다.

PowerShell 프로세스는 starfleet.corp 도메인의 모든 Active Directory 컴퓨터에서 그룹 정책을 업데이트하도록 명령을 실행했습니다. 이 명령에는 127개의 정찰 표시기, 16개의 회피 표시기, 136개의 일반 표시기 등과 같은 많은 표시기가 연결되어 있습니다. 많은 표시기는 PowerShell 명령이 네트워크에 대한 정보를 수집하거나 탐지하지 않도록 시도하는 등 악의적인 목적으로 사용되었을 수 있음을 시사합니다.

이 경우 PowerShell 프로세스는 그룹 정책 업데이트를 강제하고 정찰 및 회피와 같은 다양한 표시기를 트리거 했습니다. 그런 다음 Purple은 의심스러운 프로세스에 의해 만들어진 동작에 대한 집계를 표시합니다.

PowerShell 프로세스는 4개의 파일 만들기, 11개의 파일 변경, 4개의 파일 삭제 등 여러 파일 작업도 수행했습니다. 또한이 프로세스는 6 개의 DNS 요청을 수행하여 포트 49667의 IP 주소 192.168.192.22에 15 개의 나가는 네트워크 연결을 설정했습니다. 네트워크 연결이 성공했고 이벤트는 반복 횟수 2의 “IP Connect” 이벤트로 분류되었습니다.

그런 다음 Purple AI는 사용자 및 파일과 같은 악성 프로세스와 관련된 엔터티에 대한 추가 정보를 제공합니다. 이러한 엔티티와 관련된 의심스러운 동작과 속성도 강조됩니다.

“STARFLEET\jeanluc” 사용자는 ResistanceIsFutile.exe 프로세스와 PowerShell 프로세스 모두에 연결되었습니다. PowerShell 프로세스에는 Unsigned 활성 콘텐츠 파일이 연결되어 있고 알 수 없는 장치와 파일 경로에 있습니다. 이것은 행동의 본질성에서 의혹을 더욱 향상시킵니다.

마지막으로 Purple은 행동을 요약하고 관련 악성 엔티티를 강조하며 결론과 권장되는 다음 단계를 제공합니다.

”결론적으로 이벤트 데이터는 ResistanceIsFutile.exe 프로세스가 잠재적으로 악의적 인 PowerShell 명령을 시작하여 starfleet.corp 도메인의 모든 Active Directory 컴퓨터에 그룹 정책을 업데이트하도록 강요했습니다. 제안합니다. PowerShell 프로세스와 관련된 많은 표시기, 파일 작업, 네트워크 연결 및 서명되지 않은 활성 콘텐츠 파일은 이러한 동작이 사이버 보안 분석가에 의해 추가 조사되어야 함을 나타냅니다. “

높은 수준의 세부사항을 갖춘 정확한 분석을 얻은 분석가는 Purple AI에서 생성한 통찰력을 복사하여 위협 분석 보고서에 신속하게 붙여 넣고 추가 완화, 완화 및 인시던트 대응 절차를 시작할 수 있습니다. 합니다.

결론

Purple AI는 위협 사냥꾼과 SOC 팀 분석가가 SentinelOne 콘솔 내에서 LLM(대규모 언어 모델)의 힘을 활용하여 공격을 보다 빠르고 쉽게 식별하고 대응할 수 있도록 하는 통합 생성 AI입니다. 자연 언어로 대화 프롬프트와 응답을 사용하여 경험이 적거나 리소스가 적은 보안 팀에서도 지금까지는 고급 교육을 받은 분석가가 몇 시간의 노력을 하지 않으면 발견할 수 없었던 수상한 혹은 악의적인 행동을 빠르게 제거할 수 있습니다.

SentinelOne이 엔드포인트, 클라우드 및 ID 표면 전체에서 조직을 보호하는 방법에 대한 자세한 내용은 문의 또는 데모를 요청하십시오.