Microsoft Sentinel UEBA 동작을 사용하여 원시 보안 로그를 동작 인사이트로 변환

Microsoft Sentinel UEBA(사용자 및 엔터티 동작 분석) 동작 계층은 대용량 원시 로그를 보안 작업의 명확하고 일반 언어 패턴으로 집계하고 요약하여 "누가 누구에게 무엇을 했는지"를 구조화된 방식으로 설명합니다.

경고 또는 변칙과 달리 동작이 반드시 위험을 나타내는 것은 아닙니다. 다음을 향상시켜 조사, 헌팅 및 검색을 위해 데이터를 최적화하는 추상화 계층을 만듭니다.

  • 효율성: 관련 이벤트를 응집력 있는 스토리에 연결하여 조사 시간을 줄입니다.
  • Clarity: 시끄러운 하위 수준 로그를 일반 언어 요약으로 변환합니다.
  • 컨텍스트: 즉각적인 보안 관련성을 위해 MITRE ATT&CK 매핑 및 엔터티 역할을 추가합니다.
  • 일관성: 다양한 로그 원본에서 통합 스키마를 제공합니다.

이 추상화 계층을 사용하면 모든 로그 원본에 대해 깊이 숙지하지 않고도 보안 작업 전반에서 더 빠른 위협 탐지, 조사 및 대응을 수행할 수 있습니다.

이 문서에서는 UEBA 동작 계층의 작동 방식, 동작 계층을 사용하도록 설정하는 방법 및 동작을 사용하여 보안 작업을 개선하는 방법을 설명합니다.

UEBA 동작 계층의 전체 개요 및 데모는 UEBA 동작 웨비나 를 시청하세요.

UEBA 동작 계층의 작동 방식

동작은 Microsoft Sentinel UEBA(사용자 및 엔터티 동작 분석) 기능의 일부로, 변칙 검색을 보완하고 조사를 보강하는 정규화된 상황별 활동 요약을 제공합니다.

동작, 변칙 및 경고 비교

이 표에서는 동작이 변칙 및 경고와 어떻게 다른지 보여 줍니다.

기능 나타내는 내용 용도
예외 설정된 기준에서 벗어나는 패턴 비정상적이거나 의심스러운 활동 강조 표시
경고 주의가 필요한 잠재적 보안 문제를 알릴 수 있습니다. 인시던트 대응 워크플로 트리거
동작 MITRE ATT&CK 매핑 및 엔터티 역할로 보강된 시간 창 또는 트리거에 따라 중립적이고 구조화된 활동 요약(정상 또는 비정상) 조사, 헌팅 및 검색에 대한 컨텍스트 및 명확성 제공

동작 형식 및 레코드

UEBA 동작 계층을 사용하도록 설정하면 Microsoft Sentinel Sentinel 작업 영역에 수집한 지원되는 보안 로그를 거의 실시간으로 처리하고 두 가지 유형의 동작 패턴을 요약합니다.

동작 유형 설명 사용 사례
집계된 동작 시간별 관련 이벤트를 수집하여 볼륨 기반 패턴 검색
  • 사용자가 1시간 동안 50개 이상의 리소스에 액세스했습니다.
  • 10개 이상의 다른 IP 주소에서 로그인 시도
 대용량 로그를 실행 가능한 보안 인사이트로 변환합니다. 이 동작 유형은 비정상적인 활동 수준을 식별하는 데 탁월합니다.
시퀀스된 동작 개별 이벤트를 볼 때 명확하지 않은 다단계 패턴 또는 복잡한 공격 체인 식별 새 IP > 권한 API 호출에서 사용된 액세스 키 > 정교한 공격 시퀀스 및 다단계 위협을 검색합니다.

UEBA 동작 계층은 각 동작의 논리와 관련된 맞춤형 시간 간격으로 동작을 요약하여 패턴을 식별하거나 창이 닫히면 즉시 동작 레코드를 만듭니다.

각 동작 레코드에는 다음이 포함됩니다.

  • 간단하고 상황에 맞는 설명: 보안 관련 용어에서 발생한 일(예: 누가 누구에게 무엇을 했는지, 왜 중요한지)에 대한 자연어 설명입니다.
  • 기본 원시 로그에 대한 통합 스키마 및 참조: 모든 동작은 다양한 제품 및 로그 유형에서 일관된 데이터 구조를 사용하므로 분석가는 다른 로그 형식을 변환하거나 대용량 테이블에 조인할 필요가 없습니다.
  • MITRE ATT&CK 매핑: 모든 동작은 관련 MITRE 전술 및 기술로 태그가 지정되어 업계 표준 컨텍스트를 한눈에 제공합니다. 발생한 일뿐만 아니라 공격 프레임워크 또는 타임라인 어떻게 적합한지 확인할 수 있습니다.
  • 엔터티 관계 매핑: 각 동작은 관련된 엔터티(사용자, 호스트, IP 주소) 및 해당 역할(행위자, 대상 또는 기타)을 식별합니다.

동작 추상화 계층

이 다이어그램에서는 UEBA 동작 계층이 원시 로그를 보안 작업을 향상시키는 구조적 동작 레코드로 변환하는 방법을 보여 줍니다.

UEBA 동작 계층이 원시 로그를 보안 작업을 향상시키는 구조적 동작 레코드로 변환하는 방법을 보여 주는 다이어그램

동작 스토리지 및 테이블

UEBA 동작 계층은 두 가지 유형의 테이블에 동작 레코드를 저장합니다.

  • 동작 제목, 설명, MITRE 매핑, 범주 및 원시 로그에 대한 링크가 포함된 동작 정보 테이블
  • 동작 및 해당 역할에 관련된 모든 엔터티를 나열하는 동작 관련 엔터티 테이블입니다.

이러한 테이블은 검색 규칙, 조사 및 인시던트 분석을 위해 기존 워크플로와 원활하게 통합됩니다. 의심스러운 이벤트뿐만 아니라 모든 유형의 보안 활동을 처리하고 정상 및 비정상적인 동작 패턴에 대한 포괄적인 가시성을 제공합니다.

동작 테이블 사용에 대한 자세한 내용은 모범 사례 및 쿼리 동작에 대한 문제 해결 팁을 참조하세요.

중요

생성 AI는 UEBA 동작 계층을 강화하여 제공하는 인사이트를 만들고 확장합니다. Microsoft는 투명성과 설명 가능성을 보장하기 위해 개인 정보 보호 및 책임 있는 AI 원칙 을 기반으로 행동 기능을 설계했습니다. 동작은 SOC에 새로운 규정 준수 위험 또는 불투명한 "블랙박스" 분석을 도입하지 않습니다. 이 기능에서 AI를 적용하는 방법과 책임 있는 AI에 대한 Microsoft의 접근 방식에 대한 자세한 내용은 Microsoft UEBA 동작 계층에 대한 책임 있는 AI FAQ를 참조하세요.

사용 사례 및 예제

분석가, 사냥꾼 및 탐지 엔지니어가 조사, 헌팅 및 경고 생성 중에 동작을 사용할 수 있는 방법은 다음과 같습니다.

조사 및 인시던트 보강

동작을 통해 SOC 분석가는 여러 원시 로그 테이블을 피벗하지 않고 경고와 관련된 작업을 즉시 명확하게 파악할 수 있습니다.

  • 동작이 없는 워크플로: 분석가는 이벤트별 테이블을 쿼리하고 결과를 함께 연결하여 타임라인을 수동으로 재구성해야 하는 경우가 많습니다.

    : 의심스러운 AWS 활동에서 경고가 발생합니다. 분석가는 테이블을 쿼리한 AWSCloudTrail 다음 방화벽 데이터를 피벗하여 사용자 또는 호스트가 한 작업을 이해합니다. 이렇게 하려면 각 스키마에 대한 지식이 필요하며 심사 속도가 느려집니다.

  • 동작이 있는 워크플로: UEBA 동작 계층은 관련 이벤트를 인시던트에 연결하거나 요청 시 쿼리할 수 있는 동작 항목으로 자동으로 집계합니다.

    예제: 경고는 가능한 자격 증명 반출을 나타냅니다. BehaviorInfo 이 표에서 분석가는 MITRE Technique T1552(보안되지 않은 자격 증명)에 매핑된 User123의 AWS IAM을 통한 의심스러운 대량 비밀 액세스 동작을 확인합니다. UEBA 동작 계층은 20개의 AWS 로그 항목을 집계하여 이 동작을 생성했습니다. 분석가는 User123이 20개의 로그 항목을 모두 수동으로 검토하지 않고도 인시던트 에스컬레이션을 위한 중요한 컨텍스트인 많은 비밀에 액세스했음을 즉시 이해합니다.

위협 헌팅

동작을 통해 헌터는 복잡한 조인을 작성하거나 원시 로그를 직접 정규화하는 대신 TTP 및 활동 요약을 검색할 수 있습니다.

  • 동작이 없는 워크플로: 헌팅에는 복잡한 KQL, 테이블 조인 및 모든 데이터 원본 형식에 대한 친숙함이 필요합니다. 중요한 작업은 기본 제공 보안 컨텍스트가 거의 없는 대규모 데이터 세트에 묻혀 있을 수 있습니다.

    예제: 정찰 징후를 헌팅하려면 검사 AWSCloudTrail 이벤트 특정 방화벽 연결 패턴이 별도로 필요할 수 있습니다. 컨텍스트는 주로 인시던트 및 경고에 존재하므로 사전 예방적 헌팅이 더 어려워집니다.

  • 동작이 있는 워크플로: 동작은 정규화, 보강 및 MITRE 전술 및 기술에 매핑됩니다. 헌터는 각 소스의 스키마에 의존하지 않고 의미 있는 패턴을 검색할 수 있습니다.

    헌터는 전술(Categories), 기술, 제목 또는 엔터티를 통해 BehaviorInfo 테이블을 필터링할 수 있습니다. 예시:

    BehaviorInfo 
| where Categories has "Discovery" 
| summarize count() by Title

    사냥꾼은 다음을 수행할 수도 있습니다.

    • 필드에서 를 사용하여 count distinct 드문 동작을 식별합니다 Title .
    • 흥미로운 동작 유형을 탐색하고, 관련된 엔터티를 식별하고, 자세히 조사합니다.
    • 기본 원시 로그를 참조하는 및 AdditionalFields 열을 사용하여 BehaviorId 원시 로그로 드릴다운합니다.

    예제: 스텔스 자격 증명 액세스 쿼리를 검색하는 사냥꾼이 열에 "자격 증명 열거"를 사용하여 동작을 Title 쿼리합니다. 결과는 "사용자 AdminJoe에 의해 자격 증명 모음에서 시도된 자격 증명 덤프" (로그에서 CyberArk 파생됨)의 몇 가지 인스턴스를 반환합니다. 경고가 발생하지는 않았지만 이 동작은 AdminJoe에서 일반적이지 않으며 자세한 자격 증명 모음 감사 로그에서 검색하기 어려운 추가 조사를 요청합니다.

    사냥꾼은 다음을 통해 사냥할 수도 있습니다.

    • MITRE 전술:

      // Find behaviors by MITRE tactic
BehaviorInfo
| where Categories == "Lateral Movement"

    • 기술:

      // Find behaviors by MITRE technique
BehaviorInfo
| where AttackTechniques has "T1078" // Valid Accounts
| extend AF = parse_json(AdditionalFields)
| extend TableName = tostring(AF.TableName)
| project TimeGenerated, Title, Description, TableName

    • 특정 사용자:

      // Find all behaviors for a specific user over last 7 days
BehaviorInfo
| join kind=inner BehaviorEntities on BehaviorId
| where TimeGenerated >= ago(7d)
| where EntityType == "User" and AccountUpn == "user@domain.com"
| project TimeGenerated, Title, Description, Categories
| order by TimeGenerated desc

    • 드문 동작(잠재적인 변칙):

      // Find rare behaviors (potential anomalies)
BehaviorInfo
| where TimeGenerated >= ago(30d)
| summarize Count=count() by Title
| where Count < 5 // Behaviors seen less than 5 times
| order by Count asc

경고 및 자동화

동작은 기본 제공 컨텍스트로 정규화된 고품질 신호를 제공하여 규칙 논리를 간소화하고 새로운 상관 관계 가능성을 가능하게 합니다.

  • 동작이 없는 워크플로: 원본 간 상관 관계 규칙은 각 로그 형식이 다르기 때문에 복잡합니다. 규칙에는 다음이 필요한 경우가 많습니다.

    • 정규화 논리
    • 스키마 관련 조건
    • 여러 개의 별도 규칙
    • 원시 활동이 아닌 경고에 의존

    자동화는 하위 수준 이벤트에 의해 구동되는 경우에도 너무 자주 트리거될 수 있습니다.

  • 동작이 있는 워크플로: 동작은 이미 관련 이벤트를 집계하고 MITRE 매핑, 엔터티 역할 및 일관된 스키마를 포함하므로 검색 엔지니어는 더 간단하고 명확한 검색 규칙을 만들 수 있습니다.

    예제: 잠재적인 키 손상 및 권한 상승 시퀀스에 대해 경고하기 위해 검색 엔지니어는 "사용자에게 '새 AWS 액세스 키 만들기' 동작이 있고 1시간 이내에 'AWS에서 권한 상승' 동작이 수행되면 경고"라는 논리를 사용하여 검색 규칙을 작성합니다.

    UEBA 동작 계층이 없으면 이 규칙은 원시 AWSCloudTrail 이벤트를 함께 연결하고 규칙 논리에서 해석해야 합니다. 동작을 사용하면 스키마가 통합되므로 로그 스키마 변경에 대한 간단하고 복원력이 있습니다.

    동작은 자동화를 위한 신뢰할 수 있는 트리거 역할을 합니다. 위험하지 않은 활동에 대한 경고를 만드는 대신 동작을 사용하여 자동화를 트리거합니다(예: 이메일을 보내거나 확인을 시작).

지원되는 데이터 원본 및 동작

이러한 데이터 원본에 로그를 보내는 지원되는 데이터 원본 및 공급업체 또는 서비스의 목록이 진화하고 있습니다. UEBA 동작 계층은 수집한 로그를 기반으로 지원되는 모든 공급업체에 대한 인사이트를 자동으로 집계합니다.

현재 UEBA 동작 계층은 일반적으로 Microsoft Sentinel 쉬운 동작 컨텍스트가 없는 이러한 비 Microsoft 데이터 원본에 중점을 둡니다.

데이터 원본 지원되는 공급업체, 서비스 및 로그 커넥터 지원되는 동작
CommonSecurityLog1
  • 사이버 방주 자격 증명 모음
  • Palo Alto 위협
AWSCloudTrail
  • EC2
  • Iam
  • S3
  • EKS
  • 비밀 관리자
GCPAuditLogs
  • 관리 활동 로그
  • 데이터 액세스 로그
  • 투명도 로그 액세스

1CommonSecurityLog 은 많은 공급업체의 로그를 포함할 수 있습니다. UEBA 동작 계층은 지원되는 공급업체 및 로그 유형에 대해서만 동작을 생성합니다. 테이블이 지원되지 않는 공급업체로부터 로그를 수신하는 경우 데이터 원본이 연결되어 있어도 동작이 표시되지 않습니다.

중요

이러한 원본을 다른 UEBA 기능과 별도로 사용하도록 설정해야 합니다. 예를 들어 UEBA 분석 및 변칙에 대해 AWSCloudTrail을 사용하도록 설정한 경우에도 동작에 대해 별도로 사용하도록 설정해야 합니다.

필수 구성 요소

UEBA 동작 계층을 사용하려면 다음이 필요합니다.

필요한 권한

UEBA 동작 계층을 사용하도록 설정하고 사용하려면 다음 권한이 필요합니다.

사용자 작업 사용 권한 필요
동작 사용 Microsoft Entra ID 보안 관리자 역할 및 Sentinel 작업 영역에서 Microsoft Sentinel 기여자 역할 이상
쿼리 동작 테이블
  • Defender 포털에서 고급 헌팅 쿼리를 실행하는 Microsoft Entra ID 보안 읽기 권한자 또는 보안 운영자 역할입니다.
  • Sentinel 작업 영역의 BehaviorInfoBehaviorEntities 테이블에 대한 액세스를 읽습니다.
  • 원본 테이블에 대한 액세스를 읽고 원시 이벤트로 드릴다운합니다.

Defender 포털의 통합 RBAC에 대한 자세한 내용은 Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어)를 참조하세요.

UEBA 동작 계층 사용

UEBA 동작 집계를 시작하려면 지원되는 데이터 원본을 하나 이상 연결해야 합니다. UEBA 동작 계층은 지원되는 데이터 원본이 연결되어 있고 분석 계층에 로그를 적극적으로 보내는 경우에만 동작을 집계합니다.

작업 영역에서 UEBA 동작 계층을 사용하도록 설정하려면 다음을 수행합니다.

  1. Defender 포털에서 SIEM 작업 영역에 Microsoft Sentinel > 시스템 > 설정을 >선택합니다.

  2. UEBA 동작 계층을 사용하도록 설정할 Sentinel 작업 영역을 선택합니다.

  3. 동작 분석 > 사용 UEBA > 새로 만들기 구성을 선택합니다. 동작 계층.

  4. 동작 사용 계층을 전환합니다.

  5. 모든 데이터 원본 연결을 선택하거나 목록에서 특정 데이터 원본을 선택합니다.

    지원되는 데이터 원본을 아직 Sentinel 작업 영역에 연결하지 않은 경우 콘텐츠 허브로 이동을 선택하여 관련 커넥터를 찾아 연결합니다.

    Defender 포털의 동작 계층 사용 페이지를 보여 주는 스크린샷

  6. 연결을 선택합니다.

중요

현재 테넌트에서 단일 작업 영역에서 동작을 사용하도록 설정할 수 있습니다.

가격 책정 모델

UEBA 동작 계층을 사용하면 다음과 같은 비용이 발생합니다.

  • 추가 라이선스 비용 없음: 동작은 Microsoft Sentinel 일부로 포함됩니다. 별도의 SKU, UEBA 추가 기능 또는 추가 라이선스가 필요하지 않습니다. 작업 영역이 Sentinel 연결되고 Defender 포털에 온보딩된 경우 추가 기능 비용 없이 동작을 사용할 수 있습니다.

  • 로그 데이터 수집 요금: 동작 레코드는 Sentinel 작업 영역의 SentinelBehaviorInfoSentinelBehaviorEntities 테이블에 저장됩니다. 각 동작은 작업 영역의 데이터 수집 볼륨에 기여하며 기존 Log Analytics/Sentinel 수집 속도로 청구됩니다. 동작은 가산적입니다. 기존 원시 로그를 대체하지는 않습니다.

동작 쿼리에 대한 모범 사례 및 문제 해결 팁

이 섹션에서는 Defender 포털과 Sentinel 작업 영역 모두에서 동작을 쿼리하는 방법을 설명합니다. 스키마는 동일하지만 데이터 scope 다릅니다.

  • Defender 포털에서 동작 테이블에는 클라우드용 Microsoft Defender for Cloud Apps Microsoft Defender 같은 연결된 Defender 서비스의 UEBA 동작 및 동작이 포함됩니다.
  • Sentinel 작업 영역에서 동작 테이블에는 해당 특정 작업 영역에 수집된 로그에서 생성된 UEBA 동작 포함됩니다.

이 표에서는 각 환경에서 사용할 동작 테이블을 보여 줍니다.

환경 사용할 테이블 사용 사례
Defender 포털 - 고급 헌팅 BehaviorInfo
BehaviorEntities		 Defender 포털의 검색 규칙, 인시던트 조사, 위협 헌팅
Sentinel 작업 영역 SentinelBehaviorInfo
SentinelBehaviorEntities		 Sentinel 작업 영역에서 통합 문서, 수집 모니터링, KQL 쿼리 모니터링 Azure

동작을 사용하는 보다 실용적인 예제는 사용 사례 및 예제를 참조하세요.

Kusto 쿼리 언어(KQL)에 대한 자세한 내용은 Kusto 쿼리 언어 개요를 참조하세요.

  • Defender 포털에서 UEBA 동작 필터링

    BehaviorEntities 테이블에는 BehaviorInfo 모든 UEBA 동작이 포함되며 Microsoft Defender 서비스의 동작도 포함될 수 있습니다.

    Microsoft Sentinel UEBA 동작 계층에서 동작을 필터링하려면 열을 사용합니다ServiceSource. 예시:

    BehaviorInfo
| where ServiceSource == "Microsoft Sentinel"

    ServiceSource 열에서 Microsoft Sentinel 값으로 필터링된 BehaviorInfo 테이블의 스크린샷

  • 동작에서 원시 로그로 드릴다운

    필드의 AdditionalFields 원래 이벤트 ID에 대한 참조를 포함하는 의 SupportingEvidence 열을 BehaviorInfo사용합니다.

    이벤트 ID에 대한 참조가 있는 AdditionalFields 열과 원시 로그 쿼리에 대한 SupportingEvidence 필드를 보여 주는 BehaviorInfo 테이블의 스크린샷

    필드 값에 대한 쿼리를 SupportingEvidence 실행하여 동작에 기여한 원시 로그를 찾습니다.

    SupportingEvidence 필드 값에 대한 쿼리와 동작에 기여한 원시 로그를 보여 주는 쿼리 결과를 보여 주는 스크린샷

  • 조인 동작Info 및 BehaviorEntities

    필드를 사용하여 에 BehaviorIdBehaviorInfoBehaviorEntities합니다.

    예시:

    BehaviorInfo
| join kind=inner BehaviorEntities on BehaviorId
| where TimeGenerated >= ago(1d)
| project TimeGenerated, Title, Description, EntityType, EntityRole, AccountUpn

    이렇게 하면 각 동작과 관련된 각 엔터티가 표시됩니다. AccountUpn 엔터티에 대한 또는 식별 정보는 에 있는 BehaviorEntities반면 BehaviorInfo 텍스트에서 "사용자" 또는 "호스트"를 참조할 수 있습니다.

  • 동작 데이터 수집 모니터링

    동작 데이터 수집을 모니터링하려면 및 SentinelBehaviorEntities와 관련된 SentinelBehaviorInfo 항목에 대해 테이블을 쿼리 Usage 합니다.

  • 동작에 따라 자동화, 통합 문서 및 검색 규칙 만들기

    • Defender 포털에서 BehaviorInfo 검색 규칙 또는 자동화 플레이북에 대한 데이터 원본으로 테이블을 사용합니다. 예를 들어 특정 동작이 나타날 때 트리거되는 예약된 쿼리 규칙을 만듭니다.
    • Azure 통합 문서 및 Sentinel 작업 영역에 직접 빌드된 아티팩트 모니터링의 경우 Sentinel 작업 영역에서 및 SentinelBehaviorEntities 테이블을 쿼리 SentinelBehaviorInfo 해야 합니다.

문제 해결

  • 동작이 생성되지 않는 경우: 지원되는 데이터 원본이 적극적으로 분석 계층으로 로그를 보내고 있는지 확인하고, 데이터 원본 토글이 켜져 있는지 확인하고, 사용하도록 설정한 후 15~30분 정도 기다립니다.
  • 예상보다 적은 동작이 표시됩니다. 지원되는 동작 유형에 대한 적용 범위는 부분적이고 증가하고 있습니다. 자세한 내용은 지원되는 데이터 원본 및 동작을 참조하세요. 특정 동작 유형의 인스턴스가 거의 없는 경우 UEBA 동작 계층이 동작 패턴을 검색하지 못할 수도 있습니다.
  • 동작 수: 단일 동작은 수십 또는 수백 개의 원시 이벤트를 나타낼 수 있습니다. 이는 노이즈를 줄이기 위해 설계되었습니다.

제한 사항

이러한 제한 사항은 현재 UEBA 동작 계층에 적용됩니다.

  • 테넌트당 단일 Sentinel 작업 영역에서 동작을 사용하도록 설정할 수 있습니다.
  • UEBA 동작 계층은 지원되는 제한된 데이터 원본 및 공급업체 또는 서비스 세트에 대한 동작을 생성합니다.
  • UEBA 동작 계층은 지원되는 원본에 대해서도 현재 가능한 모든 작업 또는 공격 기술을 캡처하지 않습니다. 일부 이벤트는 해당 동작을 생성하지 않을 수 있습니다. 동작이 없으면 활동이 발생하지 않았다고 가정하지 마세요. 누락된 것으로 의심되는 경우 항상 원시 로그를 검토합니다.
  • 동작은 이벤트를 집계하고 시퀀싱하여 노이즈를 줄이는 것을 목표로 하지만 여전히 너무 많은 동작 레코드가 표시될 수 있습니다. 적용 범위 및 관련성을 개선하는 데 도움이 되는 특정 동작 유형에 대한 피드백을 환영합니다.
  • 동작은 경고 또는 변칙이 아닙니다. 악의적이거나 양성으로 분류되지 않은 중립적인 관찰입니다. 동작의 존재는 "이것은 위협"이 아니라 "이런 일이 일어났다"는 것을 의미합니다. 변칙 검색은 UEBA에서 별도로 유지됩니다. 판단을 사용하거나 UEBA 변칙 데이터와 동작을 결합하여 주목할 만한 패턴을 식별합니다.
  • Last updated on