All Work

AI 보안알림 정오탐 분석

SIEM 탐지 이벤트를 AI가 1차 분석해 실행 체인, 사용자·자산 맥락, 위험 요소, 정오탐 판단, 권장 조치를 협업 알림과 summary index로 남기는 SOC triage 자동화입니다.

AI for SecuritySOC TriageAlert Quality
Input 고위험 엔드포인트 이벤트, 실행 경로, 부모/자식 프로세스, 사용자·위치 맥락
Decision 정상·오탐·의심·정탐과 판단 근거, 위험 요소, 권장 조치 생성
Operation 5분 단위 탐지, suppress, 협업 알림, summary index 저장으로 반복 운영
Case Blueprint

AI-assisted SOC

이 사례는 아래 순서로 보면 배경, 판단 기준, 산출물 흐름이 가장 자연스럽게 이어집니다.

01 반복 알림을 대응 가능한 판단 초안으로 전환 lead
02 AI Triage 콘솔이 처리하는 일 product-console
03 분석 파이프라인 flow
04 판단 입력 구조 architecture
05 AI가 판단하도록 만든 기준 cards

반복 알림을 대응 가능한 판단 초안으로 전환

고위험 보안 알림은 자동으로 쌓이지만, 대응자는 매번 실행 체인 확인, 사용자 맥락 조회, 정오탐 판단, 공유 문구 작성까지 반복해야 했습니다. 이 작업은 그 반복 판단을 AI가 보조할 수 있도록 이벤트 입력 구조와 판단 결과 형식을 먼저 고정한 사례입니다.

Operating Unit AI Triage

운영자는 단순 요약이 아니라 근거와 조치가 붙은 판단 초안을 받습니다.

AI Triage 콘솔이 처리하는 일

SIEM 검색 결과를 그대로 LLM에 던지지 않고, 실행 체인과 사용자 맥락, 정상 판단 기준, 조치 문구를 구조화해 운영 알림으로 되돌리는 흐름입니다.

Cycle 5min
Mode per-event
Store summary
analysis run
Search

고위험 이벤트를 주기적으로 수집하고 중복 알림을 suppress 기준으로 제어

탐지
Context

cmdline, parent process, filepath, 사용자, 호스트, 위치 정보를 판단 입력으로 정리

맥락
Prompt

정상/오탐/의심/정탐 판단 기준과 분석 보고서 형식을 프롬프트로 고정

기준
Judge

AI가 위험 요소, 판단 근거, 정오탐 여부, 권장 조치를 이벤트별로 생성

판단
Notify

협업 채널 알림과 summary index에 결과를 남겨 재검토와 추세 분석에 활용

운영
Decision shape Reasoned first opinion

AI가 결론만 쓰는 것이 아니라, 왜 그렇게 판단했는지와 다음 확인 지점을 함께 남기도록 설계했습니다.

분석 파이프라인

01 Detect

SIEM 탐지 룰이 고위험 이벤트를 주기적으로 선별

02 Enrich

사용자, 호스트, 네트워크 위치, 조직 정보를 붙여 같은 이벤트도 맥락별로 해석

03 Structure

cmdline, parent, filepath, 실행 주체, 탐지명, 원시 근거를 AI 입력 블록으로 구성

04 Judge

정상/오탐/의심/정탐, 위험 요소, 판단 근거, 권장 조치를 생성

05 Record

협업 알림과 summary index에 저장해 운영 이력과 튜닝 근거로 재사용

판단 입력 구조

Signal 탐지 이벤트

탐지명, 심각도, 원시 이벤트, 발생 시각, 중복 여부를 기준으로 알림 대상을 좁힙니다.

Execution 실행 체인

명령행, 실행 경로, 부모/자식 프로세스, 파일 경로를 묶어 실제 악성 행위 가능성을 판단합니다.

Identity 사용자 맥락

사용자, 부서, 장비, 위치, 계정 상태를 붙여 같은 명령도 업무 맥락에 따라 다르게 판단합니다.

Decision 판단 결과

정오탐 여부, 근거, 위험 요소, 추가 확인 지점, 권장 조치를 고정된 문단 구조로 반환합니다.

AI가 판단하도록 만든 기준

01 Execution Chain

프로세스, 부모/자식 관계, 명령행, 파일 경로처럼 판단에 필요한 실행 맥락을 정리했습니다.

02 User Context

사용자, 부서, 장비, 위치를 붙여 같은 이벤트도 업무 맥락에 따라 다르게 판단할 수 있게 했습니다.

03 Noise Control

폴더명이나 문자열만으로 잡힌 이벤트와 실제 실행 흔적을 구분하도록 기준을 분리했습니다.

04 Decision Shape

정상, 오탐, 정탐 의심, 정탐, 확인 필요처럼 운영자가 바로 쓸 수 있는 결과 단위로 맞췄습니다.

05 Evidence Record

알림 결과를 summary index에 남겨 이후 튜닝, 재검토, 추세 분석에 사용할 수 있게 했습니다.

06 Response Copy

협업 알림 문구에는 담당자가 바로 확인할 수 있는 근거와 권장 조치를 포함했습니다.

정오탐 판단의 축

AI 판단이 임의의 감상으로 흐르지 않도록, 실행성·사용자 맥락·반복성·위험도를 분리해 결과를 만들었습니다.

Execution 실행 파일, gateway, setup, agent, dashboard 등 실제 실행 흔적
Context 사용자·호스트·조직·위치와 정상 업무 가능성
True Positive

실제 실행 흔적과 위험 행위가 확인되면 정탐 또는 정탐 의심으로 분류합니다.

Likely False Positive

폴더명이나 문자열만 존재하고 실행 흔적이 없으면 오탐 또는 확인 필요로 낮춥니다.

Review Required

업무 목적이 가능한 행위는 사용자 확인과 추가 로그 확인 대상으로 남깁니다.

Suppress Candidate

동일 명령행·동일 사용자 반복 이벤트는 suppress 기준으로 운영 피로도를 낮춥니다.

핵심 메시지

AI를 보안에 썼다는 표현보다 중요한 것은, SOC 알림의 실제 병목을 알고 그 안에 AI를 끼워 넣어 운영 가능한 형태로 만들었다는 점입니다. 이 사례는 모델 성능보다 입력 구조, 판단 기준, 알림 포맷, 증적 저장을 먼저 설계한 작업입니다.