제품 발표
UEBA가 이제 Splunk Enterprise Security의 기본 기능으로 제공됩니다
Splunk Enterprise Security(ES)는 에이전틱 AI, SOAR, UEBA 및 SIEM과 원활하게 통합된 통합 SecOps 플랫폼을 통해 고객에게 완전히 새로운 경험을 제공합니다.
보안
UEBA(User and Entity Behavior Analytics)
사용자 및 각 객체의 행동 분석을 통해 알려지지 않은 위협으로부터 보호합니다.
내부자 위협을 선제적으로 식별하고 완화하세요
UEBA는 행동 기반 이상 탐지 및 머신 러닝을 사용하여 사용자 및 엔터티 행동의 미묘한 편차를 탐지함으로써 계정 오용, 자격 증명 유출, 측면 이동과 같은 내부자 위협을 조기에 식별하고 무력화할 수 있습니다.
사용자 및 엔터티 위험 인텔리전스로 보안 가시성 향상
UEBA는 사용자, 기기, 애플리케이션 전반의 행동 데이터를 집계하고 상호 연관시켜 엔터티 위험 점수를 개발함으로써 전체적인 위험 인사이트와 상황별 인텔리전스를 제공하여 보안 팀이 상황 인식을 통해 새로운 위협에 우선순위를 지정하고 효과적으로 대응할 수 있도록 지원합니다.
자동화된 위협 탐지 및 우선순위 지정으로 SOC의 효율성 최적화
UEBA는 노이즈를 필터링하고 위협 점수 및 우선순위 지정을 자동화하여 SOC 워크플로우를 간소화함으로써 경고 피로를 줄여줍니다. 이를 통해 분석가는 가장 중요한 위험에 집중하여 더 빠르고 정확하게 조사하고 사고에 대응할 수 있습니다.
기능
가장 복잡한 위협 발견
행동 분석 및 머신 러닝
UEBA는 내부자 위협 및 지능형 공격을 나타내는 미묘한 편차를 탐지하기 위해 정상적인 사용자 및 엔터티 행동을 지속적으로 학습하고 기준선을 설정합니다. 이 적응형 머신 러닝은 기존의 규칙 기반 도구가 놓치는 숨겨진 위험을 발견하여 선제적인 위협 탐지를 가능하게 합니다.
엔티티 위험 점수 및 집계
여러 소스의 위험 신호를 사용자 또는 기업별로 실행 가능한 단일 위험 점수로 집계합니다. 동적 점수 매기기는 위협의 우선순위를 효과적으로 지정하여 경고 피로를 줄이고 SOC 팀이 가장 중요한 위험에 집중할 수 있도록 지원합니다.
다중 엔터티 상관관계
사용자, 기기, 엔드포인트, 클라우드 애플리케이션 전반의 행동을 상관 연관시켜 측면 이동 및 권한 남용과 같은 복잡한 공격 패턴을 탐지함으로써 여러 시스템에 걸친 복잡한 위협을 밝혀냅니다.
상황별 인텔리전스를 통한 실시간 위험 인사이트
풍부한 경고 메타데이터, 피어 그룹 비교, 과거 행동 컨텍스트를 통해 분석가의 역량을 강화하여 상황 인식을 높일 수 있습니다. 위협 타임라인과 위험 히트맵과 같은 시각화를 활용하여 더 빠르고 자신감 있는 의사 결정을 내리세요.
자동화된 위협 탐지 및 우선순위 지정
여러 머신 러닝 모델을 활용하여 수동 개입 없이 새로운 위협을 지속적으로 모니터하고 탐지할 수 있습니다. 자동화된 우선순위 지정은 위험 수준에 따라 보안 이벤트의 순위를 매겨 SOC 워크플로우를 간소화하고 사고 대응을 가속화합니다.
Splunk Enterprise Security와의 원활한 통합
UEBA는 기본적으로 Splunk의 보안 에코시스템과 통합되어 탐지, 조사 및 대응 워크플로우를 통합합니다. 이 통합은 인시던트 보기를 중앙 집중화하고 UEBA의 행동 인사이트와 SIEM 상관관계 규칙을 결합하여 SOC 효율성을 향상시킵니다.
리소스
Splunk에 대한 추가 정보
UEBA에 대해 자주하는 질문
UEBA는 머신러닝을 활용하여 사용자, 디바이스, 어플리케이션의 행동을 분석하고, 내부자 위협, 계정 탈취, 횡적 이동, 데이터 유출(data exfiltration) 및 기타 고도화된 위협을 시사하는 비정상 및 이상 징후를 탐지합니다 UEBA는 행동 기준선(behavioral baselines)을 수립하고 그로부터의 편차를 식별함으로써, 실행 가능한 보안 인사이트를 제공하고 과도한 경보로 인한 피로를 줄여줍니다. 또한 UEBA는 풍부한 컨텍스트 기반 인텔리전스와 실시간 위험 점수를 통해 조사 과정을 간소화하여 SOC 운영 효율성을 향상시킵니다.
UEBA는 Splunk 엔터프라이즈 시큐리티 프리미어에 네이티브하게 통합되어 있습니다. 이는 사용자, 디바이스, 클라우드 어플리케이션 및 다양한 보안 계층 전반의 위험 정보를 통합하여, 포괄적이고 사용자 중심의 종합적인 위험 점수를 제공합니다. 이러한 통합을 통해 사고에 대한 가시성 중앙화, 경보 컨텍스트 강화, 엔드투엔드 조사 워크플로우 등이 가능해집니다. 그 결과, Splunk ES 플랫폼 내에서 위협 탐지, 조사 및 대응 역량의 향상이 가능합니다.
UEBA는 Splunk 엔터프라이즈 시큐리티 프리미어 에디션에 포함된 기능입니다. UEBA는 독립형 제품이나 Splunk 엔터프라이즈 시큐리티 에센셜의 추가 기능으로는 제공되지 않습니다. 따라서 UEBA의 고급 행동 분석 기능을 활용하려는 고객은 ES 프리미어 에디션을 신규 구매하거나 해당 에디션으로 업그레이드해야 합니다.
UEBA는 다양한 내부자 위협 및 고도화된 위협을 탐지할 수 있습니다. 여기에는 탈취된 자격 증명이나 무단 사용으로 인한 계정 침해, 실수 또는 의도적인 계정 권한 오남용, 시스템 간 횡적 이동, 클라우드 스토리지·USB·이메일·네트워크 경로를 통한 데이터 유출, 악성코드에 감염된 장비, 그리고 기존 행동 기준선에서 벗어나는 미확인 또는 의심스러운 행위 등을 포함합니다.
Splunk UBA는 Splunk ES와 연동되는 독립형 레거시 제품으로, 별도의 관리 및 워크플로우가 필요합니다. Splunk UBA는 2025년 12월에 판매 종료 되었으며, 기술 지원 종료는 2027년 1월 예정입니다. 반면 UEBA는 Splunk ES 프리미어에 네이티브 방식으로 내장되어 있으며, 고급 비지도 머신러닝, 사용자·디바이스·클라우드·어플리케이션을 포함하는 광범위한 행위 분석, 실시간 위험 점수, 그리고 통합형 조사 워크플로우를 제공합니다 UEBA는 보다 통합되고 효율적이며 강력한 보안 운영 환경을 제공합니다.
