KR102402166B1 - 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법 및 장치 - Google Patents

인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법 및 장치 Download PDF

Info

Publication number
KR102402166B1
KR102402166B1 KR1020210133538A KR20210133538A KR102402166B1 KR 102402166 B1 KR102402166 B1 KR 102402166B1 KR 1020210133538 A KR1020210133538 A KR 1020210133538A KR 20210133538 A KR20210133538 A KR 20210133538A KR 102402166 B1 KR102402166 B1 KR 102402166B1
Authority
KR
South Korea
Prior art keywords
specific
information
playbook
user
component
Prior art date
Application number
KR1020210133538A
Other languages
English (en)
Inventor
김건우
한유경
Original Assignee
(주)시큐레이어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)시큐레이어 filed Critical (주)시큐레이어
Priority to KR1020210133538A priority Critical patent/KR102402166B1/ko
Application granted granted Critical
Publication of KR102402166B1 publication Critical patent/KR102402166B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0481Interaction techniques based on graphical user interfaces [GUI] based on specific properties of the displayed interaction object or a metaphor-based environment, e.g. interaction with desktop elements like windows or icons, or assisted by a cursor's changing behaviour or appearance
    • G06F3/04817Interaction techniques based on graphical user interfaces [GUI] based on specific properties of the displayed interaction object or a metaphor-based environment, e.g. interaction with desktop elements like windows or icons, or assisted by a cursor's changing behaviour or appearance using icons
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0484Interaction techniques based on graphical user interfaces [GUI] for the control of specific functions or operations, e.g. selecting or manipulating an object, an image or a displayed text element, setting a parameter value or selecting a range
    • G06F3/0486Drag-and-drop
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Human Computer Interaction (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • User Interface Of Digital Computer (AREA)

Abstract

인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법이 개시된다. 즉, (a) 컴퓨팅 장치가, (i) 특정 보안 이벤트에 대응하는 특정 이벤트 정보 및 (ii) 상기 특정 이벤트 정보에 대해 순차적으로 실행될 적어도 하나의 시뮬레이션 동작에 각각 대응하는 적어도 하나의 컴포넌트를 포함하는 특정 플레이북 정보를 사용자에게 제공하는 단계; (b) 상기 컴퓨팅 장치가, 상기 컴포넌트 중 적어도 하나인 특정 컴포넌트에 대한, 머신러닝에 기반한 인터랙티브 필터링 연산을 수행함으로써 상기 특정 컴포넌트에 대한 상기 사용자의 조정을 지원하는 프로세스를 수행한 후, 상기 사용자에 의해 조정된 특정 조정 컴포넌트를 포함하는 특정 조정 플레이북 정보가 생성되면, 상기 특정 조정 플레이북 정보 및 상기 특정 이벤트 정보를 참조하여 상기 인터랙티브 시뮬레이션을 수행하는 단계; (c) 상기 컴퓨팅 장치가, 상기 인터랙티브 시뮬레이션의 결과를 상기 사용자에게 제공하여, 상기 사용자가 상기 특정 조정 플레이북 정보에 대응하는 특정 조정 플레이북을 상기 특정 보안 이벤트에 적용함으로써 이에 대처할 수 있도록 지원하는 단계를 포함하는 것을 특징으로 하는 방법이 개시된다.

Description

인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법 및 장치{METHOD AND DEVICE FOR SUPPORTING MANAGING SECURITY EVENT BY USING PLAYBOOK BASED ON INTERACTIVE SIMULATION}
본 발명은 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법 및 장치에 관한 것이다.
사이버 공격이 날이 갈수록 정교해지고 지능화됨에 따라, 이에 대응하기 위해 최근 Security Orchestration, Automation and Response(SOAR) 방식으로 보안 이벤트에 대응할 수 있도록 하는 방법이 제안되었다. 이는, 다양한 보안 위협에 따른 대응 프로세스를 자동화하여 낮은 수준의 보안 이벤트는 자동으로 처리되고, 높은 수준의 보안 이벤트는 표준화된 업무 프로세스에 따라 직원이 쉽게 대응할 수 있도록 도와주는 솔루션을 의미할 수 있다. 이와 같은 SOAR를 구현하기 위해 가장 널리 사용되는 방식은 플레이북 방식으로, 공격 유형별 및 상황 유형별로 대응 프로세스를 플레이북 형태로 미리 만들어 두고, 특정 공격 유형 및 상황 유형에 해당하는 보안 이벤트가 발생하면, 이에 대응하는 특정 플레이북을 선택하여 대응할 수 있도록 하는 방식이다.
하지만, 이와 같은 종래의 프로세스에서, 사용자는, 특정 플레이북을 사용하여 보안 이벤트를 처리한 결과가 좋지 않을 경우, 이를 다시 복원한 다음, 플레이북 생성 화면으로 다시 돌아가 플레이북을 수정하고 또다시 이벤트 대응 화면으로 돌아가 보안 이벤트에 수정된 플레이북을 적용하는 복잡한 과정을 거쳐야만 한다. 결과가 금방 좋게 나온다면 다행이지만, 결과가 지속적으로 나쁘게 나올 경우 이와 같은 반복 과정 속에서 대응자의 피로감은 극심해질 수밖에 없다.
본 발명은 상술한 문제점을 해결하는 것을 목적으로 한다.
또한 본 발명은 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법을 제공함으로써, 플레이북 적용 전에 인터랙티브 시뮬레이션을 가상으로 수행한 결과를 참조로 사용자가 플레이북을 수정할 수 있도록 함으로써 사용자의 피로감을 줄일 수 있도록 하는 것을 목적으로 한다.
또한 본 발명은 인터랙티브 시뮬레이션 화면에서 바로 플레이북을 수정할 수 있는 UI를 제공함으로써 플레이북 생성 화면으로의 이동 없이 바로 플레이북을 수정한 후 인터랙티브 시뮬레이션을 수행하고, 수정된 플레이북을 바로 이벤트에 적용할 수 있도록 함으로써 효율성을 증대시키는 것을 목적으로 한다.
또한 본 발명은 플레이북에 포함된 컴포넌트를 사용자가 수정할 때, 머신러닝 기반 인터랙티브 필터링 연산을 수행하여 레퍼런스 설정값을 사용자에게 제공함으로써 사용자의 컴포넌트 수정을 용이하게 하고자 하는 것을 목적으로 한다.
상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특징적인 효과를 실현하기 위한 본 발명의 특징적인 구성은 하기와 같다.
본 발명의 일 태양에 따르면, 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법에 있어서, (a) 컴퓨팅 장치가, (i) 특정 보안 이벤트에 대응하는 특정 이벤트 정보 및 (ii) 상기 특정 이벤트 정보에 대해 순차적으로 실행될 적어도 하나의 시뮬레이션 동작에 각각 대응하는 적어도 하나의 컴포넌트를 포함하는 특정 플레이북 정보를 사용자에게 제공하는 단계; (b) 상기 컴퓨팅 장치가, 상기 컴포넌트 중 적어도 하나인 특정 컴포넌트에 대한, 머신러닝에 기반한 인터랙티브 필터링 연산을 수행함으로써 상기 특정 컴포넌트에 대한 상기 사용자의 조정을 지원하는 프로세스를 수행한 후, 상기 사용자에 의해 조정된 특정 조정 컴포넌트를 포함하는 특정 조정 플레이북 정보가 생성되면, 상기 특정 조정 플레이북 정보 및 상기 특정 이벤트 정보를 참조하여 상기 인터랙티브 시뮬레이션을 수행하는 단계; (c) 상기 컴퓨팅 장치가, 상기 인터랙티브 시뮬레이션의 결과를 상기 사용자에게 제공하여, 상기 사용자가 상기 특정 조정 플레이북 정보에 대응하는 특정 조정 플레이북을 상기 특정 보안 이벤트에 적용함으로써 이에 대처할 수 있도록 지원하는 단계를 포함하는 것을 특징으로 하는 방법이 개시된다.
일례로서, 상기 (b) 단계는, 상기 컴퓨팅 장치가, 상기 특정 이벤트 정보 및 상기 특정 플레이북 정보를 사용하여 특정 리비전 벡터를 생성하는 프로세스 및 상기 특정 컴포넌트를 참조하여 레퍼런스 DB로부터 레퍼런스 벡터를 획득하는 프로세스를 수행한 후, 상기 특정 리비전 벡터 및 상기 레퍼런스 벡터 간의 유사도를 계산하여 가장 유사도가 높은 적어도 하나의 특정 레퍼런스 벡터를 획득하고, 상기 특정 레퍼런스 벡터에 대응하는 상기 특정 컴포넌트의 특정 레퍼런스 설정 값을 상기 사용자에게 제공함으로써 상기 인터랙티브 필터링 연산을 수행하는 것을 특징으로 하는 방법이 개시된다.
일례로서, 상기 (b) 단계는, 상기 컴퓨팅 장치가, (i) 상기 특정 이벤트 정보에 포함된 관련 IP 정보, 이벤트 카테고리 정보 및 위험도 정보 및 상기 특정 플레이북 정보에 포함된 플레이북 카테고리 정보를 포함하는 상기 특정 리비전 벡터와, (ii) 상기 관련 IP 정보, 상기 이벤트 카테고리 정보, 상기 위험도 정보 및 상기 플레이북 카테고리 정보에 대응하는 성분을 포함하며 상기 특정 컴포넌트에 대한 설정이 이루어진 컨텍스트별로 상기 레퍼런스 DB에 저장되어 있는 레퍼런스 데이터를 참조하여 획득된 상기 레퍼런스 벡터 간의 상기 유사도를 벡터 간 거리 계산 알고리즘을 사용하여 계산하는 것을 특징으로 하는 방법이 개시된다.
일례로서, 상기 (a) 단계 이전에, (a0) 상기 컴퓨팅 장치가, 상기 사용자에 의해 설정된 상기 특정 플레이북 정보 및 상기 특정 이벤트 정보를 참조하여 상기 인터랙티브 시뮬레이션을 수행한 후, 이를 통해 생성된 이전 인터랙티브 시뮬레이션 결과를 사용자에게 제공하는 단계를 포함하고, 상기 (a) 단계는, 상기 컴퓨팅 장치가, 상기 사용자가 상기 이전 인터랙티브 시뮬레이션 결과를 참조하여 입력한, 상기 특정 플레이북 정보에 대응하는 특정 플레이북을 상기 특정 보안 이벤트에 적용하지 않을 것임을 나타내는 트리거가 획득되면, 상기 특정 플레이북 정보를 상기 사용자가 수정할 수 있도록 지속 제공하는 것을 특징으로 하는 방법이 개시된다.
일례로서, 상기 (a) 단계는, 상기 컴퓨팅 장치가, 상기 특정 이벤트 정보를 포함하는 이벤트 리스트를 제1_1 영역에 제공하고, 상기 특정 플레이북 정보를 포함하는 플레이북 리스트를 제1_2 영역에 제공하여, 상기 사용자가 상기 특정 이벤트 정보 및 상기 특정 플레이북 정보를 선택할 수 있도록 지원하고, 상기 특정 이벤트 정보 및 상기 특정 플레이북 정보가 선택되면, 상기 특정 이벤트 정보를 제1_3 영역에 제공하고, 상기 특정 플레이북 정보를 도식화하여 제1_4 영역에 제공하는 것을 특징으로 하는 방법이 개시된다.
일례로서, 상기 (b) 단계는, 상기 컴퓨팅 장치가, 상기 사용자에 의한 인터랙티브 시뮬레이션 트리거가 획득되면, 상기 사용자가 상기 특정 플레이북에 추가할 수 있도록 설정된 추가 컴포넌트를 포함하는 컴포넌트 리스트를 제2_1 영역에 제공하고, 상기 특정 이벤트 정보를 제2_2 영역에 제공하며, 상기 특정 플레이북 정보를 도식화하여 제2_3 영역에 제공함으로써 특정 컴포넌트에 대한 사용자의 조정을 지원하는 것을 특징으로 하고, 상기 (c) 단계는, 상기 컴퓨팅 장치가, 상기 인터랙티브 시뮬레이션의 결과를 제2_4 영역에 제공하는 것을 특징으로 하는 방법이 개시된다.
일례로서, 상기 (b) 단계는, 상기 컴퓨팅 장치가, 상기 사용자가 상기 제2_1 영역 상에서 상기 추가 컴포넌트 중 적어도 하나인 특정 추가 컴포넌트를 선택하여 상기 제2_3 영역에 드래그 앤 드롭하면, 상기 특정 플레이북 정보에 포함된 기존의 상기 컴포넌트와 상기 특정 추가 컴포넌트를 다시 도식화하여 상기 제2_3 영역에 제공함으로써 상기 컴포넌트 및 상기 특정 추가 컴포넌트 중 적어도 하나인 상기 특정 컴포넌트에 대한 상기 사용자의 조정을 지원하는 것을 특징으로 하는 방법이 개시된다.
일례로서, 상기 (b) 단계는, 상기 컴퓨팅 장치가, 상기 제2_3 영역에 도식화된 상기 특정 플레이북 정보에 포함된 상기 컴포넌트 중 상기 특정 컴포넌트가 선택된 후 이에 대한 수정 트리거가 획득되면, 상기 특정 컴포넌트에 대한 특정 설정창을 모달 창의 형태로 제공하여 상기 특정 컴포넌트에 대한 상기 사용자의 조정을 지원하되, 상기 특정 설정창은 상기 인터랙티브 필터링 연산의 결과를 포함하는 것을 특징으로 하는 방법이 개시된다.
일례로서, 상기 (b) 단계는, 상기 컴퓨팅 장치가, 상기 특정 설정창 상의 제2_5a 영역에 상기 특정 컴포넌트에 대한 정보를 제공하고, 제2_5b 영역에 상기 특정 컴포넌트에 대한 현재 설정 값을 제공하며, 제2_5c 영역에 상기 인터랙티브 필터링 연산에 따라 획득된 상기 특정 컴포넌트의 레퍼런스 설정 값을 제공함으로써 상기 사용자가 상기 레퍼런스 설정 값을 참조하여 상기 특정 컴포넌트를 조정할 수 있도록 지원하는 것을 특징으로 하는 방법이 개시된다.
일례로서, 상기 (a) 단계 이전에, (a0) 상기 컴퓨팅 장치가, 상기 사용자에 의해 설정된 상기 특정 플레이북 정보 및 상기 특정 이벤트 정보를 참조하여 상기 인터랙티브 시뮬레이션을 수행한 후, 이를 통해 생성된 이전 인터랙티브 시뮬레이션 결과를 상기 제2_4 영역을 통해 사용자에게 제공하는 단계를 포함하고, 상기 (a) 단계는, 상기 컴퓨팅 장치가, 상기 사용자가 상기 이전 인터랙티브 시뮬레이션 결과를 참조하여 입력한, 상기 특정 플레이북 정보에 대응하는 특정 플레이북을 상기 특정 보안 이벤트에 적용하지 않을 것임을 나타내는 트리거가 획득되면, 상기 특정 플레이북 정보를 상기 제2_3 영역을 통해 상기 사용자에게 지속 제공함으로써 화면의 레이아웃 변동 없이 상기 사용자가 상기 특정 플레이북 정보를 수정할 수 있도록 지원하는 것을 특징으로 하는 방법이 개시된다.
본 발명의 다른 태양에 따르면, 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법을 수행하는 컴퓨팅 장치에 있어서, 인스트럭션들을 저장하는 하나 이상의 메모리; 및 상기 인스트럭션들을 수행하도록 설정된 하나 이상의 프로세서를 포함하되, 상기 프로세서는, (I) (i) 특정 보안 이벤트에 대응하는 특정 이벤트 정보 및 (ii) 상기 특정 이벤트 정보에 대해 순차적으로 실행될 적어도 하나의 시뮬레이션 동작에 각각 대응하는 적어도 하나의 컴포넌트를 포함하는 특정 플레이북 정보를 사용자에게 제공하는 프로세스; (II) 상기 컴포넌트 중 적어도 하나인 특정 컴포넌트에 대한, 머신러닝에 기반한 인터랙티브 필터링 연산을 수행함으로써 상기 특정 컴포넌트에 대한 상기 사용자의 조정을 지원하는 프로세스를 수행한 후, 상기 사용자에 의해 조정된 특정 조정 컴포넌트를 포함하는 특정 조정 플레이북 정보가 생성되면, 상기 특정 조정 플레이북 정보 및 상기 특정 이벤트 정보를 참조하여 상기 인터랙티브 시뮬레이션을 수행하는 프로세스; (III) 상기 인터랙티브 시뮬레이션의 결과를 상기 사용자에게 제공하여, 상기 사용자가 상기 특정 조정 플레이북 정보에 대응하는 특정 조정 플레이북을 상기 특정 보안 이벤트에 적용함으로써 이에 대처할 수 있도록 지원하는 프로세스를 수행하는 것을 특징으로 하는 장치가 개시된다.
일례로서, 상기 (II) 프로세스는, 상기 프로세서가, 상기 특정 이벤트 정보 및 상기 특정 플레이북 정보를 사용하여 특정 리비전 벡터를 생성하는 프로세스 및 상기 특정 컴포넌트를 참조하여 레퍼런스 DB로부터 레퍼런스 벡터를 획득하는 프로세스를 수행한 후, 상기 특정 리비전 벡터 및 상기 레퍼런스 벡터 간의 유사도를 계산하여 가장 유사도가 높은 적어도 하나의 특정 레퍼런스 벡터를 획득하고, 상기 특정 레퍼런스 벡터에 대응하는 상기 특정 컴포넌트의 특정 레퍼런스 설정 값을 상기 사용자에게 제공함으로써 상기 인터랙티브 필터링 연산을 수행하는 것을 특징으로 하는 장치가 개시된다.
일례로서, 상기 (II) 프로세스는, 상기 프로세서가, (i) 상기 특정 이벤트 정보에 포함된 관련 IP 정보, 이벤트 카테고리 정보 및 위험도 정보 및 상기 특정 플레이북 정보에 포함된 플레이북 카테고리 정보를 포함하는 상기 특정 리비전 벡터와, (ii) 상기 관련 IP 정보, 상기 이벤트 카테고리 정보, 상기 위험도 정보 및 상기 플레이북 카테고리 정보에 대응하는 성분을 포함하며 상기 특정 컴포넌트에 대한 설정이 이루어진 컨텍스트별로 상기 레퍼런스 DB에 저장되어 있는 레퍼런스 데이터를 참조하여 획득된 상기 레퍼런스 벡터 간의 상기 유사도를 벡터 간 거리 계산 알고리즘을 사용하여 계산하는 것을 특징으로 하는 장치가 개시된다.
일례로서, 상기 (I) 프로세스 이전에, 상기 프로세서가, (I0) 상기 사용자에 의해 설정된 상기 특정 플레이북 정보 및 상기 특정 이벤트 정보를 참조하여 상기 인터랙티브 시뮬레이션을 수행한 후, 이를 통해 생성된 이전 인터랙티브 시뮬레이션 결과를 사용자에게 제공하는 프로세스를 수행하고, 상기 (I) 프로세스는, 상기 프로세서가, 상기 사용자가 상기 이전 인터랙티브 시뮬레이션 결과를 참조하여 입력한, 상기 특정 플레이북 정보에 대응하는 특정 플레이북을 상기 특정 보안 이벤트에 적용하지 않을 것임을 나타내는 트리거가 획득되면, 상기 특정 플레이북 정보를 상기 사용자가 수정할 수 있도록 지속 제공하는 것을 특징으로 하는 장치가 개시된다.
일례로서, 상기 (I) 프로세스는, 상기 컴퓨팅 장치가, 상기 특정 이벤트 정보를 포함하는 이벤트 리스트를 제1_1 영역에 제공하고, 상기 특정 플레이북 정보를 포함하는 플레이북 리스트를 제1_2 영역에 제공하여, 상기 사용자가 상기 특정 이벤트 정보 및 상기 특정 플레이북 정보를 선택할 수 있도록 지원하고, 상기 특정 이벤트 정보 및 상기 특정 플레이북 정보가 선택되면, 상기 특정 이벤트 정보를 제1_3 영역에 제공하고, 상기 특정 플레이북 정보를 도식화하여 제1_4 영역에 제공하는 것을 특징으로 하는 장치가 개시된다.
일례로서, 상기 (II) 프로세스는, 상기 프로세서가, 상기 사용자에 의한 인터랙티브 시뮬레이션 트리거가 획득되면, 상기 사용자가 상기 특정 플레이북에 추가할 수 있도록 설정된 추가 컴포넌트를 포함하는 컴포넌트 리스트를 제2_1 영역에 제공하고, 상기 특정 이벤트 정보를 제2_2 영역에 제공하며, 상기 특정 플레이북 정보를 도식화하여 제2_3 영역에 제공함으로써 특정 컴포넌트에 대한 사용자의 조정을 지원하는 것을 특징으로 하고, 상기 (III) 프로세스는, 상기 프로세서가, 상기 인터랙티브 시뮬레이션의 결과를 제2_4 영역에 제공하는 것을 특징으로 하는 장치가 개시된다.
일례로서, 상기 (II) 프로세스는, 상기 프로세서가, 상기 사용자가 상기 제2_1 영역 상에서 상기 추가 컴포넌트 중 적어도 하나인 특정 추가 컴포넌트를 선택하여 상기 제2_3 영역에 드래그 앤 드롭하면, 상기 특정 플레이북 정보에 포함된 기존의 상기 컴포넌트와 상기 특정 추가 컴포넌트를 다시 도식화하여 상기 제2_3 영역에 제공함으로써 상기 컴포넌트 및 상기 특정 추가 컴포넌트 중 적어도 하나인 상기 특정 컴포넌트에 대한 상기 사용자의 조정을 지원하는 것을 특징으로 하는 장치가 개시된다.
일례로서, 상기 (II) 프로세스는, 상기 프로세서가, 상기 제2_3 영역에 도식화된 상기 특정 플레이북 정보에 포함된 상기 컴포넌트 중 상기 특정 컴포넌트가 선택된 후 이에 대한 수정 트리거가 획득되면, 상기 특정 컴포넌트에 대한 특정 설정창을 모달 창의 형태로 제공하여 상기 특정 컴포넌트에 대한 상기 사용자의 조정을 지원하되, 상기 특정 설정창은 상기 인터랙티브 필터링 연산의 결과를 포함하는 것을 특징으로 하는 장치가 개시된다.
일례로서, 상기 (II) 프로세스는, 상기 프로세서가, 상기 특정 설정창 상의 제2_5a 영역에 상기 특정 컴포넌트에 대한 정보를 제공하고, 제2_5b 영역에 상기 특정 컴포넌트에 대한 현재 설정 값을 제공하며, 제2_5c 영역에 상기 인터랙티브 필터링 연산에 따라 획득된 상기 특정 컴포넌트의 레퍼런스 설정 값을 제공함으로써 상기 사용자가 상기 레퍼런스 설정 값을 참조하여 상기 특정 컴포넌트를 조정할 수 있도록 지원하는 것을 특징으로 하는 장치가 개시된다.
일례로서, 상기 (I) 프로세스 이전에, 상기 프로세서가, (I0) 상기 사용자에 의해 설정된 상기 특정 플레이북 정보 및 상기 특정 이벤트 정보를 참조하여 상기 인터랙티브 시뮬레이션을 수행한 후, 이를 통해 생성된 이전 인터랙티브 시뮬레이션 결과를 상기 제2_4 영역을 통해 사용자에게 제공하는 프로세스를 수행하고, 상기 (I) 프로세스는, 상기 프로세서가, 상기 사용자가 상기 이전 인터랙티브 시뮬레이션 결과를 참조하여 입력한, 상기 특정 플레이북 정보에 대응하는 특정 플레이북을 상기 특정 보안 이벤트에 적용하지 않을 것임을 나타내는 트리거가 획득되면, 상기 특정 플레이북 정보를 상기 제2_3 영역을 통해 상기 사용자에게 지속 제공함으로써 화면의 레이아웃 변동 없이 상기 사용자가 상기 특정 플레이북 정보를 수정할 수 있도록 지원하는 것을 특징으로 하는 장치가 개시된다.
본 발명은 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법을 제공함으로써, 플레이북 적용 전에 인터랙티브 시뮬레이션을 가상으로 수행한 결과를 참조로 사용자가 플레이북을 수정할 수 있도록 함으로써 사용자의 피로감을 줄일 수 있는 효과가 있다.
또한 본 발명은 인터랙티브 시뮬레이션 화면에서 바로 플레이북을 수정할 수 있는 UI를 제공함으로써 플레이북 생성 화면으로의 이동 없이 바로 플레이북을 수정한 후 인터랙티브 시뮬레이션을 수행하고, 수정된 플레이북을 바로 이벤트에 적용할 수 있도록 함으로써 효율성을 증대시킬 수 있는 효과가 있다.
또한 본 발명은 플레이북에 포함된 컴포넌트를 사용자가 수정할 때, 머신러닝 기반 인터랙티브 필터링 연산을 수행하여 레퍼런스 설정값을 사용자에게 제공함으로써 사용자의 컴포넌트 수정을 용이하게 할 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법을 수행하는 컴퓨팅 장치의 구성을 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법을 수행하는 컴퓨팅 장치의 각 구성요소들의 연동 관계를 나타낸 도면이다.
도 3은 본 발명의 일 실시예에 따른 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법을 나타낸 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법을 수행하면서 제공되는 이벤트 대응 화면을 나타낸 도면이다.
도 5는 본 발명의 일 실시예에 따른 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법을 수행하면서 제공되는 인터랙티브 시뮬레이션 화면을 나타낸 도면이다.
도 6은 본 발명의 일 실시예에 따른 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법을 수행하면서 제공되는 특정 설정창을 나타낸 도면이다.
도 7은 본 발명의 일 실시예에 따른 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법에 따라 수행되는 머신러닝 기반 인터랙티브 필터링 연산의 프로세스를 설명하기 위한 도면이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법을 수행하는 컴퓨팅 장치의 구성을 나타낸 도면이다.
도 1을 참조하면, 컴퓨팅 장치(100)는 플레이북 저장 모듈(130), 보안이벤트 시스템(140), DB(150), 데이터 추출 모듈(160), 머신러닝 모듈(170), 실행 모듈(180) 및 DB 저장 모듈(190)을 포함할 수 있다. 이 때, 플레이북 저장 모듈(130), 보안이벤트 시스템(140), DB(150), 데이터 추출 모듈(160), 머신러닝 모듈(170), 실행 모듈(180) 및 DB 저장 모듈(190)의 입출력 및 연산 과정은 각각 통신부(110) 및 프로세서(120)에 의해 이루어질 수 있다. 다만, 도 1에서는 통신부(110) 및 프로세서(120)의 구체적인 연결 관계를 생략하였다. 또한, 메모리(115)는 후술할 여러 가지 인스트럭션들을 저장한 상태일 수 있고, 프로세서(120)는 메모리에 저장된 인스트럭션들을 수행하도록 됨으로써 추후 설명할 프로세스들을 수행하여 본 발명을 수행할 수 있다. 이와 같이 컴퓨팅 장치(100)가 묘사되었다고 하여, 컴퓨팅 장치(100)가 본 발명을 실시하기 위한 미디엄, 프로세서 및 메모리가 통합된 형태인 통합 프로세서를 포함하는 경우를 배제하는 것은 아니다.
다만, 상기 구성요소들은 컴퓨팅 장치(100)에 포함되지 않은 것일 수도 있다. 예를 들어, 보안이벤트 시스템(140)은, 도면에 도시된 것과 같이 컴퓨팅 장치(100) 내에 포함된 것일 수도 있지만, 컴퓨팅 장치(100)와 다른 단말, 예를 들어 서버에 설치되어 이벤트 정보를 컴퓨팅 장치(100)로 보내는 단말에 포함된 것일 수도 있다. DB(150) 역시 컴퓨팅 장치(100)와 다른 단말에 포함된 것일 수도 있으며, 도면과 설명에서 이들이 컴퓨팅 장치(100)에 포함된 것처럼 표현되는 것은 단지 설명의 편의를 위한 것이며, 본 발명의 범위를 제한하는 것이 아니다. 또한, 컴퓨팅 장치(100)는, 디스플레이 장치(미도시)를 포함하거나 이와 연동하여 동작함으로써 이하 설명할 화면을 사용자에게 제공할 수 있다.
이하 상기 설명한 각각의 구성요소들의 연동 관계에 대해 도 2를 참조하여 설명하도록 한다.
도 2는 본 발명의 일 실시예에 따른 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법을 수행하는 컴퓨팅 장치의 각 구성요소들의 연동 관계를 나타낸 도면이다.
도 2를 참조하면, 사용자는 플레이북 생성 화면(230)을 통해 플레이북을 생성하고, 플레이북 저장 모듈(130)을 통해 이를 DB(150)에 저장할 수 있다. DB(150)는 플레이북만을 저장하는 것이 아니라, 보안이벤트 시스템(140)이 획득한 보안 이벤트에 대한 정보 및 추후 설명할 레퍼런스 데이터도 저장해 둔 상태일 수 있다. 이와 같은 DB(150)는, 사용자가 이벤트 대응 화면(210) 및 인터랙티브 시뮬레이션 화면(220)을 통해 컴퓨팅 장치(100)를 조작하면서 실행되는 프로세스들에 의한 정보 조회 쿼리에 따라 자신의 정보를 데이터 추출 모듈(160) 등에 전달할 수 있다. 실행 모듈(180)은 인터랙티브 시뮬레이션을 수행하는 모듈로, 사용자가 실행 결과에 만족하여 추후 설명할 조정된 플레이북에 대한 저장 트리거를 입력할 경우, 이를 DB 저장 모듈(190)를 통해 DB(150)에 저장할 수 있다. 이하 각각의 구성요소들이 본 발명의 지원 방법을 수행할 때에 구체적으로 어떻게 사용되는지 설명하도록 한다.
도 3은 본 발명의 일 실시예에 따른 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법을 나타낸 흐름도이다.
도 3을 참조하면, 컴퓨팅 장치(100)가, (i) 특정 보안 이벤트에 대응하는 특정 이벤트 정보 및 (ii) 특정 이벤트 정보에 대해 순차적으로 실행될 적어도 하나의 시뮬레이션 동작에 각각 대응하는 적어도 하나의 컴포넌트를 포함하는 특정 플레이북 정보를 사용자에게 제공할 수 있다(S01). 그리고, 컴퓨팅 장치(100)가, 컴포넌트 중 적어도 하나인 특정 컴포넌트에 대해 머신러닝에 기반한 인터랙티브 필터링 연산을 수행함으로써 특정 컴포넌트에 대한 사용자의 조정을 지원하는 프로세스를 수행한 후, 사용자에 의해 조정된 특정 조정 컴포넌트를 포함하는 특정 조정 플레이북 정보가 생성되면, 특정 조정 플레이북 정보 및 특정 이벤트 정보를 참조하여 인터랙티브 시뮬레이션을 수행할 수 있다(S02). 다음으로, 컴퓨팅 장치(100)가, 인터랙티브 시뮬레이션의 결과를 사용자에게 제공하여, 사용자가 특정 조정 플레이북 정보에 대응하는 특정 조정 플레이북을 특정 보안 이벤트에 적용함으로써 이에 대처할 수 있도록 지원할 수 있다(S03).
이에 대해 구체적으로 설명하면, 전술한 바와 같이 컴퓨팅 장치(100)는 DB(150)에 보안이벤트 시스템(140)을 통해 획득된 보안 이벤트 정보들 및 이들에 대응하기 위해 생성된 플레이북 정보들을 포함한 상태일 수 있다. 다만, 보안 이벤트 정보의 획득 과정 및 플레이북 정보의 생성 과정은 본 발명의 주된 내용은 아니므로, 자세한 설명은 생략하기로 한다. 이와 같은 상태에서, 컴퓨팅 장치(100)는 이벤트 대응 화면(210)을 통해, 사용자가 보안 이벤트 정보 중 하나를 선택하고, 이에 대응하기 위해 플레이북 정보 중 하나를 선택하도록 지원할 수 있다. 이에 대해 설명하기 위해 도 4를 참조하도록 한다.
도 4는 본 발명의 일 실시예에 따른 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법을 수행하면서 제공되는 이벤트 대응 화면을 나타낸 도면이다.
도 4를 참조하면, 컴퓨팅 장치(100)는, 각각의 이벤트 정보를 포함하는 이벤트 리스트를 제1_1 영역(211)에 제공하고, 각각의 플레이북 정보를 포함하는 플레이북 리스트를 제1_2 영역(212)에 제공할 수 있다. 이에 따라 사용자가 이벤트 리스트 상에서 특정 이벤트 정보를 선택하고, 플레이북 리스트 상에서 특정 플레이북 정보를 선택하면, 컴퓨팅 장치(100)는, 특정 이벤트 정보를 제1_3 영역(213)에 제공하고, 특정 플레이북 정보를 도식화하여 제1_4 영역(214)에 제공할 수 있다. 도면은 특정 플레이북 정보를 도식화한 것의 일 예시를 보여주는 것으로, 각각의 컴포넌트들이 순서대로 배열된다는 점만 만족한다면 어떠한 방식의 도식화도 가능할 것이다. 이와 같은 상태에서, 사용자는 해당 화면에서 컴포넌트들을 수정하거나, 시험 버튼(214-1)을 선택하여 인터랙티브 시뮬레이션을 수행하거나, 선택 버튼(214-2)을 선택하여 특정 플레이북을 바로 특정 보안 이벤트에 적용할 수 있다. 컴포넌트들을 수정할 경우, 추후 도 6을 참조하여 설명할 특정 설정창을 통해 수정이 이루어질 수 있고, 이에 따라 머신러닝 기반 인터랙티브 필터링 연산도 이루어질 수 있는데, 이는 추후 설명될 것이다. 또한, 본 화면에서는 수정이 이루어질 수 없도록 설정하는 실시예도 가능하다. 선택 버튼(214-2)가 선택될 경우, 특정 플레이북이 특정 보안 이벤트에 적용되고, 프로세스는 일단 종료될 수 있을 것이다. 이하 시험 버튼(214-1)이 선택된 경우의 프로세스에 대해 설명하도록 한다. 시험 버튼(214-1)이 선택되면, 인터랙티브 시뮬레이션 화면(220)이 제공되는 바, 이에 대해 도 5를 참조하여 설명하도록 한다.
도 5는 본 발명의 일 실시예에 따른 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법을 수행하면서 제공되는 인터랙티브 시뮬레이션 화면을 나타낸 도면이다.
도 5를 참조하면, 컴퓨팅 장치(100)는, 사용자에 의한 인터랙티브 시뮬레이션 트리거가 시험 버튼(214-1)을 통해 획득되면, 사용자가 특정 플레이북에 추가할 수 있도록 설정된 추가 컴포넌트를 포함하는 컴포넌트 리스트를 제2_1 영역(221)에 제공하고, 특정 이벤트 정보를 제2_2 영역(222)에 제공하며, 특정 플레이북 정보를 도식화하여 제2_3 영역(223)에 제공할 수 있다. 또한, 인터랙티브 시뮬레이션이 이루어짐에 따라, 컴퓨팅 장치(100)는, 인터랙티브 시뮬레이션의 결과를 제2_4 영역(224)에 제공할 수 있다.
여기서, 사용자는 제2_1 영역(221) 상에서 추가 컴포넌트 중 적어도 하나인 특정 추가 컴포넌트를 선택하여 제2_3 영역(223)에 드래그 앤 드롭함으로써 특정 플레이북 정보에 특정 추가 컴포넌트를 추가할 수 있다. 이후, 기존의 컴포넌트들과 특정 추가 컴포넌트는 다시 도식화될 수 있다. 예를 들어, 특정 추가 컴포넌트와 기존 컴포넌트들이 연결됨으로써 특정 추가 컴포넌트에 대응하는 동작이 수행될 순서가 도식적으로 디스플레이되고, 이외의 각각의 컴포넌트들과의 연동 관계가 도식적으로 디스플레이될 수 있을 것이다. 물론, 컴포넌트를 추가하는 것이 아닌 삭제하는 것도 가능할 것이고, 이는 마우스 우클릭을 통한 선택 또는 제2_3 영역(223)에서 밖으로의 드래그 앤 드롭 등에 따라 수행될 수 있다.
사용자는 제2_3 영역(223)상의 Play 버튼을 눌러 인터랙티브 시뮬레이션을 개시할 수 있고, 그 좌측의 버튼을 눌러 인터랙티브 시뮬레이션의 속도를 조절할 수 있다. 인터랙티브 시뮬레이션의 결과는 전술한 바와 같이 제2_4 영역(224)에 제공되는데, 사용자는 이 결과를 보고 화면 레이아웃의 전환 없이 제2_3 영역(223) 상에서 컴포넌트를 바로 수정할 수 있다. 이에 대해 구체적으로 설명하도록 한다.
즉, 컴퓨팅 장치(100)는, 제2_3 영역(223)에 도식화된 특정 플레이북 정보에 포함된 컴포넌트 중 특정 컴포넌트가 선택된 후 이에 대한 수정 트리거가 획득되면, 특정 컴포넌트에 대한 특정 설정창을 모달 창의 형태로 제공하여 상기 특정 컴포넌트에 대한 사용자의 조정을 지원할 수 있다. 여기서 수정 트리거는, 특정 컴포넌트에 대한 마우스 왼쪽 더블클릭일 수 있으나 이에 한정되는 것은 아니다. 여기서 특정 설정창의 일 예시에 대해 설명하기 위해 도 6을 참조하도록 한다.
도 6은 본 발명의 일 실시예에 따른 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법을 수행하면서 제공되는 특정 설정창을 나타낸 도면이다.
도 6을 참조하면, 제2_5 영역(225)에 제공된 특정 설정창 상의 제2_5a 영역(225-1)에 선택된 특정 컴포넌트에 대한 정보가 제공되고, 제2_5b 영역(225-2)에 특정 컴포넌트에 대한 현재 설정 값이 제공되며, 제2_5c 영역(225-3)에 특정 컴포넌트의 레퍼런스 설정 값이 제공된 것을 확인할 수 있다. 레퍼런스 설정 값은 인터랙티브 필터링 연산에 따라 획득된 것으로, 사용자가 이를 참조하여 특정 컴포넌트의 설정 값을 조정할 수 있도록 지원하기 위함이다. 여기서, 레퍼런스 설정 값들 중 하나를 마우스로 선택하면 바로 해당 값으로 지정되도록 구현될 수도 있고, 단순히 사용자는 참조만 하여 제2_5b 영역(225-2)에 입력하는 식으로 구현될 수도 있을 것이다. 이하 레퍼런스 설정 값이 어떻게 도출되었는지에 대해 설명하도록 한다.
즉, 컴퓨팅 장치(100)는, 먼저, 특정 이벤트 정보 및 특정 플레이북 정보를 사용하여 특정 리비전 벡터를 생성하는 프로세스 및 특정 컴포넌트를 참조하여 레퍼런스 DB로부터 레퍼런스 벡터를 획득하는 프로세스를 수행할 수 있다. 여기서 레퍼런스 DB는 상기 DB(150)의 하위 DB일 수 있으나 이에 한정되는 것은 아니다. 특정 리비전 벡터는, 특정 이벤트 정보 및 특정 플레이북에 대한 정보를 포함할 수 있다. 예를 들어, 이는 특정 이벤트 정보에 포함된 관련 IP 정보, 이벤트 카테고리 정보 및 위험도 정보와, 특정 플레이북 정보에 포함된 플레이북 카테고리 정보를 포함할 수 있다. 관련 IP 정보는, 예를 들어, 특정 보안 이벤트가 단일 단말에서 일어난 경우 해당 단말의 IP 정보를 포함할 수 있고, 소정 단말에서 다른 단말로 패킷이 전송되면서 특정 보안 이벤트가 일어난 경우 양 단말의 송신 IP 정보 및 수신 IP 정보를 포함할 수 있다. 이벤트 카테고리 정보는 특정 보안 이벤트가 속한 카테고리에 대한 정보를 포함할 수 있다. 위험도 정보는 특정 보안 이벤트의 위험도를 나타낼 수 있다. 플레이북 카테고리 정보는, 어떠한 카테고리에 속하는 특정 보안 이벤트에 대해 대응하기 위한 플레이북인지에 대한 정보를 포함할 수 있다.
레퍼런스 벡터는, 특정 리비전 벡터의 각 성분에 대응되는 성분들을 포함할 수 있는데, 이는 레퍼런스 DB에 저장된 레퍼런스 데이터로부터 획득될 수 있다. 여기서 레퍼런스 데이터는, 특정 컴포넌트에 대한 지금까지의 모든 설정 값, 즉 특정 컴포넌트를 포함하는 각각의 플레이북들에서 사용자가 이를 어떻게 설정하였는지에 대한 값과 함께, 어떠한 플레이북에서 어떠한 이벤트에 대응하기 위해 그렇게 설정되었는지에 대한 컨텍스트 정보를 포함할 수 있다. 이에 따라, 컴퓨팅 장치(100)는, 특정 컴포넌트에 대한 정보를 데이터 추출 모듈(160)로 보내, DB(150)로부터 레퍼런스 데이터를 획득한 후 이를 가공하여 특정 리비전 벡터와 동일한 형태를 가지는 레퍼런스 벡터를 생성하도록 한 후, 이를 머신러닝 모듈(170)로 보낼 수 있다. 머신러닝 모듈(170)은, 특정 리비전 벡터와 레퍼런스 벡터 간의 유사도를 벡터 간 거리 계산 알고리즘을 사용하여 계산할 수 있다. 일례로, 하기 수식과 같은 유클리디언 디스턴스가 사용될 수 있다.
Figure 112021115384403-pat00001
이와 같이 유클리디언 디스턴스의 역을 유사도로 보아, 두 벡터 간의 거리가 작을수록 유사도가 크게 계산되도록 할 수 있다.
이와 같이 유사도들이 계산되면, 레퍼런스 벡터들 중 특정 리비전 벡터와의 유사도가 높은 적어도 하나의 특정 레퍼런스 벡터를 고를 수 있다. 이후, 특정 레퍼런스 벡터에 대응하는, 특정 컴포넌트의 특정 레퍼런스 설정 값을 사용자에게 제공할 수 있다. 예를 들어, 도 6처럼, 가장 유사도가 높은 4개의 특정 레퍼런스 벡터를 고른 후, 해당 특정 레퍼런스 벡터들에 대응하는 특정 레퍼런스 설정 값들을 제공할 수 있다. 몇 개를 고를지는 사용자에 의해 설정될 수 있다. 이상의 과정은 아이템 기반 협업 필터링 알고리즘을 참고로 더욱 자세히 이해될 수 있을 것이다. 이와 같은 과정에 대해 설명하기 위해 도 7을 참조하도록 한다.
도 7은 본 발명의 일 실시예에 따른 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법에 따라 수행되는 머신러닝 기반 인터랙티브 필터링 연산의 프로세스를 설명하기 위한 도면이다.
도 7을 참조하면, 데이터 추출 모듈(160)이 DB(150)에 쿼리를 송신하여 획득한 레퍼런스 데이터 일부(151)의 일 예시를 확인할 수 있다. 레퍼런스 데이터 일부(151)를 보면, 특정 컴포넌트는 웹해킹 침해사고 대응 및 라우터 차단 플레이북에서 사용되었음을 확인할 수 있다. 이와 같은 데이터는 크기가 커 직접 연산에 사용할 경우 시간이 오래 걸리므로, 데이터 추출 모듈(160)이 이를 레퍼런스 벡터들(161)로 가공하는 것이다. 이와 같은 레퍼런스 벡터들(161)은 특정 리비전 벡터와의 유사도가 계산된다. 이후의 과정은 전술한 바와 같다.
이와 같이 조정된 특정 조정 컴포넌트를 포함하는 특정 조정 플레이북 정보가 생성되면, 컴퓨팅 장치(100)는, 실행 모듈(180)로 하여금, 특정 조정 플레이북 및 특정 이벤트 정보를 참조하여 인터랙티브 시뮬레이션을 수행하도록 할 수 있다. 이에 따른 결과는, 전술한 바와 같이 제2_4 영역(224)에 도출된다. 이후 사용자는 조정된 특정 조정 플레이북을 특정 보안 이벤트에 적용함으로써 이에 대처할 수 있다. 물론, 인터랙티브 시뮬레이션의 결과가 만족스럽지 않은 경우 특정 조정 플레이북을 재조정하여 다시 인터랙티브 시뮬레이션해볼 수도 있을 것이다.
일 예로, 애당초 특정 조정 플레이북 자체가 특정 플레이북을 인터랙티브 시뮬레이션해본 결과가 만족스럽지 않아 생성된 상황을 가정할 수 있다. 이 경우, 컴퓨팅 장치(100)는, 실행 모듈(180)로 하여금, 사용자에 의해 선택된 특정 플레이북 정보 및 특정 이벤트 정보를 참조하여 인터랙티브 시뮬레이션을 수행하도록 한 후, 이 결과를 제2_4 영역(224)에 제공함으로써 사용자가 참고하도록 하였을 수 있다. 이후, 컴퓨팅 장치(100)는, 사용자가 이전 인터랙티브 시뮬레이션 결과를 참조하여 입력한, 특정 플레이북 정보에 대응하는 특정 플레이북을 특정 보안 이벤트에 적용하지 않을 것임을 나타내는 트리거가 획득되면, 특정 플레이북 정보를 상기 제2_3 영역을 통해 사용자에게 지속 제공함으로써 화면의 레이아웃 변동 없이 사용자가 특정 플레이북 정보를 수정할 수 있도록 지원할 수 있다. 위 트리거는, 사용자가 제2_3 영역(223) 상의 적용 버튼을 누르지 않고 입력한 특정 컴포넌트에 대한 수정 트리거를 획득함으로써 동시에 획득될 수 있다.
이상의 방법을 통해, 사용자는 플레이북을 직접 보안 이벤트에 적용하기 전에 반복적으로 수정 및 시뮬레이션을 수행할 수 있게 된다. 이와 같은 과정은, 전술한 바와 같이 인터랙티브 시뮬레이션 화면(220) 상에서 이루어지며, 시뮬레이션 수행 과정과 수정 과정 사이에 레이아웃 변화가 없고, 이는 사용자의 피로도 감소에 큰 영향을 끼칠 수 있다.
이상 설명된 본 발명에 따른 실시예들은 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상에서 본 발명이 구체적인 구성요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나, 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명이 상기 실시예들에 한정되는 것은 아니며, 본 발명이 속하는 기술분야에서 통상적인 지식을 가진 자라면 이러한 기계로부터 다양한 수정 및 변형을 꾀할 수 있다.
따라서, 본 발명의 사상은 상기 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위 뿐만 아니라 이 특허청구범위와 균등하게 또는 등가적으로 변형된 모든 것들은 본 발명의 사상의 범주에 속한다고 할 것이다.

Claims (20)

  1. 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법에 있어서,
    (a) 컴퓨팅 장치가, (i) 특정 보안 이벤트에 대응하는 특정 이벤트 정보 및 (ii) 상기 특정 이벤트 정보에 대해 순차적으로 실행될 적어도 하나의 시뮬레이션 동작에 각각 대응하는 적어도 하나의 컴포넌트를 포함하는 특정 플레이북 정보를 사용자에게 제공하는 단계;
    (b) 상기 컴퓨팅 장치가, 상기 컴포넌트 중 적어도 하나인 특정 컴포넌트에 대한, 머신러닝에 기반한 인터랙티브 필터링 연산을 수행함으로써 상기 특정 컴포넌트에 대한 상기 사용자의 조정을 지원하는 프로세스를 수행한 후, 상기 사용자에 의해 조정된 특정 조정 컴포넌트를 포함하는 특정 조정 플레이북 정보가 생성되면, 상기 특정 조정 플레이북 정보 및 상기 특정 이벤트 정보를 참조하여 상기 인터랙티브 시뮬레이션을 수행하는 단계;
    (c) 상기 컴퓨팅 장치가, 상기 인터랙티브 시뮬레이션의 결과를 상기 사용자에게 제공하여, 상기 사용자가 상기 특정 조정 플레이북 정보에 대응하는 특정 조정 플레이북을 상기 특정 보안 이벤트에 적용함으로써 이에 대처할 수 있도록 지원하는 단계
    를 포함하는 것을 특징으로 하되,
    상기 (b) 단계는,
    상기 컴퓨팅 장치가, 상기 특정 이벤트 정보 및 상기 특정 플레이북 정보를 사용하여 특정 리비전 벡터를 생성하는 프로세스 및 상기 특정 컴포넌트를 참조하여 레퍼런스 DB로부터 레퍼런스 벡터를 획득하는 프로세스를 수행한 후, 상기 특정 리비전 벡터 및 상기 레퍼런스 벡터 간의 유사도를 계산하여 가장 유사도가 높은 적어도 하나의 특정 레퍼런스 벡터를 획득하고, 상기 특정 레퍼런스 벡터에 대응하는 상기 특정 컴포넌트의 특정 레퍼런스 설정 값을 상기 사용자에게 제공함으로써 상기 인터랙티브 필터링 연산을 수행하는 것을 특징으로 하는 방법.
  2. 삭제
  3. 제1항에 있어서,
    상기 (b) 단계는,
    상기 컴퓨팅 장치가, (i) 상기 특정 이벤트 정보에 포함된 관련 IP 정보, 이벤트 카테고리 정보 및 위험도 정보 및 상기 특정 플레이북 정보에 포함된 플레이북 카테고리 정보를 포함하는 상기 특정 리비전 벡터와, (ii) 상기 관련 IP 정보, 상기 이벤트 카테고리 정보, 상기 위험도 정보 및 상기 플레이북 카테고리 정보에 대응하는 성분을 포함하며 상기 특정 컴포넌트에 대한 설정이 이루어진 컨텍스트별로 상기 레퍼런스 DB에 저장되어 있는 레퍼런스 데이터를 참조하여 획득된 상기 레퍼런스 벡터 간의 상기 유사도를 벡터 간 거리 계산 알고리즘을 사용하여 계산하는 것을 특징으로 하는 방법.
  4. 제1항에 있어서,
    상기 (a) 단계 이전에,
    (a0) 상기 컴퓨팅 장치가, 상기 사용자에 의해 설정된 상기 특정 플레이북 정보 및 상기 특정 이벤트 정보를 참조하여 상기 인터랙티브 시뮬레이션을 수행한 후, 이를 통해 생성된 이전 인터랙티브 시뮬레이션 결과를 사용자에게 제공하는 단계를 포함하고,
    상기 (a) 단계는,
    상기 컴퓨팅 장치가, 상기 사용자가 상기 이전 인터랙티브 시뮬레이션 결과를 참조하여 입력한, 상기 특정 플레이북 정보에 대응하는 특정 플레이북을 상기 특정 보안 이벤트에 적용하지 않을 것임을 나타내는 트리거가 획득되면, 상기 특정 플레이북 정보를 상기 사용자가 수정할 수 있도록 지속 제공하는 것을 특징으로 하는 방법.
  5. 제1항에 있어서,
    상기 (a) 단계는,
    상기 컴퓨팅 장치가, 상기 특정 이벤트 정보를 포함하는 이벤트 리스트를 제1_1 영역에 제공하고, 상기 특정 플레이북 정보를 포함하는 플레이북 리스트를 제1_2 영역에 제공하여, 상기 사용자가 상기 특정 이벤트 정보 및 상기 특정 플레이북 정보를 선택할 수 있도록 지원하고, 상기 특정 이벤트 정보 및 상기 특정 플레이북 정보가 선택되면, 상기 특정 이벤트 정보를 제1_3 영역에 제공하고, 상기 특정 플레이북 정보를 도식화하여 제1_4 영역에 제공하는 것을 특징으로 하는 방법.
  6. 제1항에 있어서,
    상기 (b) 단계는,
    상기 컴퓨팅 장치가, 상기 사용자에 의한 인터랙티브 시뮬레이션 트리거가 획득되면, 상기 사용자가 상기 특정 플레이북에 추가할 수 있도록 설정된 추가 컴포넌트를 포함하는 컴포넌트 리스트를 제2_1 영역에 제공하고, 상기 특정 이벤트 정보를 제2_2 영역에 제공하며, 상기 특정 플레이북 정보를 도식화하여 제2_3 영역에 제공함으로써 특정 컴포넌트에 대한 사용자의 조정을 지원하는 것을 특징으로 하고,
    상기 (c) 단계는,
    상기 컴퓨팅 장치가, 상기 인터랙티브 시뮬레이션의 결과를 제2_4 영역에 제공하는 것을 특징으로 하는 방법.
  7. 제6항에 있어서,
    상기 (b) 단계는,
    상기 컴퓨팅 장치가, 상기 사용자가 상기 제2_1 영역 상에서 상기 추가 컴포넌트 중 적어도 하나인 특정 추가 컴포넌트를 선택하여 상기 제2_3 영역에 드래그 앤 드롭하면, 상기 특정 플레이북 정보에 포함된 기존의 상기 컴포넌트와 상기 특정 추가 컴포넌트를 다시 도식화하여 상기 제2_3 영역에 제공함으로써 상기 컴포넌트 및 상기 특정 추가 컴포넌트 중 적어도 하나인 상기 특정 컴포넌트에 대한 상기 사용자의 조정을 지원하는 것을 특징으로 하는 방법.
  8. 제6항에 있어서,
    상기 (b) 단계는,
    상기 컴퓨팅 장치가, 상기 제2_3 영역에 도식화된 상기 특정 플레이북 정보에 포함된 상기 컴포넌트 중 상기 특정 컴포넌트가 선택된 후 이에 대한 수정 트리거가 획득되면, 상기 특정 컴포넌트에 대한 특정 설정창을 모달 창의 형태로 제공하여 상기 특정 컴포넌트에 대한 상기 사용자의 조정을 지원하되, 상기 특정 설정창은 상기 인터랙티브 필터링 연산의 결과를 포함하는 것을 특징으로 하는 방법.
  9. 제8항에 있어서,
    상기 (b) 단계는,
    상기 컴퓨팅 장치가, 상기 특정 설정창 상의 제2_5a 영역에 상기 특정 컴포넌트에 대한 정보를 제공하고, 제2_5b 영역에 상기 특정 컴포넌트에 대한 현재 설정 값을 제공하며, 제2_5c 영역에 상기 인터랙티브 필터링 연산에 따라 획득된 상기 특정 컴포넌트의 레퍼런스 설정 값을 제공함으로써 상기 사용자가 상기 레퍼런스 설정 값을 참조하여 상기 특정 컴포넌트를 조정할 수 있도록 지원하는 것을 특징으로 하는 방법.
  10. 제6항에 있어서,
    상기 (a) 단계 이전에,
    (a0) 상기 컴퓨팅 장치가, 상기 사용자에 의해 설정된 상기 특정 플레이북 정보 및 상기 특정 이벤트 정보를 참조하여 상기 인터랙티브 시뮬레이션을 수행한 후, 이를 통해 생성된 이전 인터랙티브 시뮬레이션 결과를 상기 제2_4 영역을 통해 사용자에게 제공하는 단계를 포함하고,
    상기 (a) 단계는,
    상기 컴퓨팅 장치가, 상기 사용자가 상기 이전 인터랙티브 시뮬레이션 결과를 참조하여 입력한, 상기 특정 플레이북 정보에 대응하는 특정 플레이북을 상기 특정 보안 이벤트에 적용하지 않을 것임을 나타내는 트리거가 획득되면, 상기 특정 플레이북 정보를 상기 제2_3 영역을 통해 상기 사용자에게 지속 제공함으로써 화면의 레이아웃 변동 없이 상기 사용자가 상기 특정 플레이북 정보를 수정할 수 있도록 지원하는 것을 특징으로 하는 방법.
  11. 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법을 수행하는 컴퓨팅 장치에 있어서,
    인스트럭션들을 저장하는 하나 이상의 메모리; 및
    상기 인스트럭션들을 수행하도록 설정된 하나 이상의 프로세서를 포함하되, 상기 프로세서는, (I) (i) 특정 보안 이벤트에 대응하는 특정 이벤트 정보 및 (ii) 상기 특정 이벤트 정보에 대해 순차적으로 실행될 적어도 하나의 시뮬레이션 동작에 각각 대응하는 적어도 하나의 컴포넌트를 포함하는 특정 플레이북 정보를 사용자에게 제공하는 프로세스; (II) 상기 컴포넌트 중 적어도 하나인 특정 컴포넌트에 대한, 머신러닝에 기반한 인터랙티브 필터링 연산을 수행함으로써 상기 특정 컴포넌트에 대한 상기 사용자의 조정을 지원하는 프로세스를 수행한 후, 상기 사용자에 의해 조정된 특정 조정 컴포넌트를 포함하는 특정 조정 플레이북 정보가 생성되면, 상기 특정 조정 플레이북 정보 및 상기 특정 이벤트 정보를 참조하여 상기 인터랙티브 시뮬레이션을 수행하는 프로세스; (III) 상기 인터랙티브 시뮬레이션의 결과를 상기 사용자에게 제공하여, 상기 사용자가 상기 특정 조정 플레이북 정보에 대응하는 특정 조정 플레이북을 상기 특정 보안 이벤트에 적용함으로써 이에 대처할 수 있도록 지원하는 프로세스를 수행하는 것을 특징으로 하되,
    상기 (II) 프로세스는,
    상기 프로세서가, 상기 특정 이벤트 정보 및 상기 특정 플레이북 정보를 사용하여 특정 리비전 벡터를 생성하는 프로세스 및 상기 특정 컴포넌트를 참조하여 레퍼런스 DB로부터 레퍼런스 벡터를 획득하는 프로세스를 수행한 후, 상기 특정 리비전 벡터 및 상기 레퍼런스 벡터 간의 유사도를 계산하여 가장 유사도가 높은 적어도 하나의 특정 레퍼런스 벡터를 획득하고, 상기 특정 레퍼런스 벡터에 대응하는 상기 특정 컴포넌트의 특정 레퍼런스 설정 값을 상기 사용자에게 제공함으로써 상기 인터랙티브 필터링 연산을 수행하는 것을 특징으로 하는 장치.
  12. 삭제
  13. 제11항에 있어서,
    상기 (II) 프로세스는,
    상기 프로세서가, (i) 상기 특정 이벤트 정보에 포함된 관련 IP 정보, 이벤트 카테고리 정보 및 위험도 정보 및 상기 특정 플레이북 정보에 포함된 플레이북 카테고리 정보를 포함하는 상기 특정 리비전 벡터와, (ii) 상기 관련 IP 정보, 상기 이벤트 카테고리 정보, 상기 위험도 정보 및 상기 플레이북 카테고리 정보에 대응하는 성분을 포함하며 상기 특정 컴포넌트에 대한 설정이 이루어진 컨텍스트별로 상기 레퍼런스 DB에 저장되어 있는 레퍼런스 데이터를 참조하여 획득된 상기 레퍼런스 벡터 간의 상기 유사도를 벡터 간 거리 계산 알고리즘을 사용하여 계산하는 것을 특징으로 하는 장치.
  14. 제11항에 있어서,
    상기 (I) 프로세스 이전에,
    상기 프로세서가, (I0) 상기 사용자에 의해 설정된 상기 특정 플레이북 정보 및 상기 특정 이벤트 정보를 참조하여 상기 인터랙티브 시뮬레이션을 수행한 후, 이를 통해 생성된 이전 인터랙티브 시뮬레이션 결과를 사용자에게 제공하는 프로세스를 수행하고,
    상기 (I) 프로세스는,
    상기 프로세서가, 상기 사용자가 상기 이전 인터랙티브 시뮬레이션 결과를 참조하여 입력한, 상기 특정 플레이북 정보에 대응하는 특정 플레이북을 상기 특정 보안 이벤트에 적용하지 않을 것임을 나타내는 트리거가 획득되면, 상기 특정 플레이북 정보를 상기 사용자가 수정할 수 있도록 지속 제공하는 것을 특징으로 하는 장치.
  15. 제11항에 있어서,
    상기 (I) 프로세스는,
    상기 프로세서가, 상기 특정 이벤트 정보를 포함하는 이벤트 리스트를 제1_1 영역에 제공하고, 상기 특정 플레이북 정보를 포함하는 플레이북 리스트를 제1_2 영역에 제공하여, 상기 사용자가 상기 특정 이벤트 정보 및 상기 특정 플레이북 정보를 선택할 수 있도록 지원하고, 상기 특정 이벤트 정보 및 상기 특정 플레이북 정보가 선택되면, 상기 특정 이벤트 정보를 제1_3 영역에 제공하고, 상기 특정 플레이북 정보를 도식화하여 제1_4 영역에 제공하는 것을 특징으로 하는 장치.
  16. 제11항에 있어서,
    상기 (II) 프로세스는,
    상기 프로세서가, 상기 사용자에 의한 인터랙티브 시뮬레이션 트리거가 획득되면, 상기 사용자가 상기 특정 플레이북에 추가할 수 있도록 설정된 추가 컴포넌트를 포함하는 컴포넌트 리스트를 제2_1 영역에 제공하고, 상기 특정 이벤트 정보를 제2_2 영역에 제공하며, 상기 특정 플레이북 정보를 도식화하여 제2_3 영역에 제공함으로써 특정 컴포넌트에 대한 사용자의 조정을 지원하는 것을 특징으로 하고,
    상기 (III) 프로세스는,
    상기 프로세서가, 상기 인터랙티브 시뮬레이션의 결과를 제2_4 영역에 제공하는 것을 특징으로 하는 장치.
  17. 제16항에 있어서,
    상기 (II) 프로세스는,
    상기 프로세서가, 상기 사용자가 상기 제2_1 영역 상에서 상기 추가 컴포넌트 중 적어도 하나인 특정 추가 컴포넌트를 선택하여 상기 제2_3 영역에 드래그 앤 드롭하면, 상기 특정 플레이북 정보에 포함된 기존의 상기 컴포넌트와 상기 특정 추가 컴포넌트를 다시 도식화하여 상기 제2_3 영역에 제공함으로써 상기 컴포넌트 및 상기 특정 추가 컴포넌트 중 적어도 하나인 상기 특정 컴포넌트에 대한 상기 사용자의 조정을 지원하는 것을 특징으로 하는 장치.
  18. 제16항에 있어서,
    상기 (II) 프로세스는,
    상기 프로세서가, 상기 제2_3 영역에 도식화된 상기 특정 플레이북 정보에 포함된 상기 컴포넌트 중 상기 특정 컴포넌트가 선택된 후 이에 대한 수정 트리거가 획득되면, 상기 특정 컴포넌트에 대한 특정 설정창을 모달 창의 형태로 제공하여 상기 특정 컴포넌트에 대한 상기 사용자의 조정을 지원하되, 상기 특정 설정창은 상기 인터랙티브 필터링 연산의 결과를 포함하는 것을 특징으로 하는 장치.
  19. 제18항에 있어서,
    상기 (II) 프로세스는,
    상기 프로세서가, 상기 특정 설정창 상의 제2_5a 영역에 상기 특정 컴포넌트에 대한 정보를 제공하고, 제2_5b 영역에 상기 특정 컴포넌트에 대한 현재 설정 값을 제공하며, 제2_5c 영역에 상기 인터랙티브 필터링 연산에 따라 획득된 상기 특정 컴포넌트의 레퍼런스 설정 값을 제공함으로써 상기 사용자가 상기 레퍼런스 설정 값을 참조하여 상기 특정 컴포넌트를 조정할 수 있도록 지원하는 것을 특징으로 하는 장치.
  20. 제16항에 있어서,
    상기 (I) 프로세스 이전에,
    상기 프로세서가, (I0) 상기 사용자에 의해 설정된 상기 특정 플레이북 정보 및 상기 특정 이벤트 정보를 참조하여 상기 인터랙티브 시뮬레이션을 수행한 후, 이를 통해 생성된 이전 인터랙티브 시뮬레이션 결과를 상기 제2_4 영역을 통해 사용자에게 제공하는 프로세스를 수행하고,
    상기 (I) 프로세스는,
    상기 프로세서가, 상기 사용자가 상기 이전 인터랙티브 시뮬레이션 결과를 참조하여 입력한, 상기 특정 플레이북 정보에 대응하는 특정 플레이북을 상기 특정 보안 이벤트에 적용하지 않을 것임을 나타내는 트리거가 획득되면, 상기 특정 플레이북 정보를 상기 제2_3 영역을 통해 상기 사용자에게 지속 제공함으로써 화면의 레이아웃 변동 없이 상기 사용자가 상기 특정 플레이북 정보를 수정할 수 있도록 지원하는 것을 특징으로 하는 장치.
KR1020210133538A 2021-10-07 2021-10-07 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법 및 장치 KR102402166B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210133538A KR102402166B1 (ko) 2021-10-07 2021-10-07 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210133538A KR102402166B1 (ko) 2021-10-07 2021-10-07 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법 및 장치

Publications (1)

Publication Number Publication Date
KR102402166B1 true KR102402166B1 (ko) 2022-05-31

Family

ID=81780907

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210133538A KR102402166B1 (ko) 2021-10-07 2021-10-07 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법 및 장치

Country Status (1)

Country Link
KR (1) KR102402166B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160306980A1 (en) * 2015-04-20 2016-10-20 SafeBreach Ltd. System and method for creating and executing breach scenarios utilizing virtualized elements
KR102198104B1 (ko) * 2020-06-19 2021-01-05 주식회사 이글루시큐리티 머신러닝을 이용한 플레이북 자동 생성 시스템 및 그 방법
KR102239985B1 (ko) * 2020-10-14 2021-04-14 (주)시큐레이어 시스템에 위협이 될 수 있는 위협 이벤트를 최적화 ui 상에서 디스플레이함으로써 사용자가 상기 위협 이벤트를 용이하게 분석할 수 있도록 하는 위협 이벤트 리플레이 방법 및 장치

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160306980A1 (en) * 2015-04-20 2016-10-20 SafeBreach Ltd. System and method for creating and executing breach scenarios utilizing virtualized elements
KR102198104B1 (ko) * 2020-06-19 2021-01-05 주식회사 이글루시큐리티 머신러닝을 이용한 플레이북 자동 생성 시스템 및 그 방법
KR102239985B1 (ko) * 2020-10-14 2021-04-14 (주)시큐레이어 시스템에 위협이 될 수 있는 위협 이벤트를 최적화 ui 상에서 디스플레이함으로써 사용자가 상기 위협 이벤트를 용이하게 분석할 수 있도록 하는 위협 이벤트 리플레이 방법 및 장치

Similar Documents

Publication Publication Date Title
US20200074432A1 (en) Deep learning-based actionable digital receipts for cashier-less checkout
US7788584B2 (en) Computer-implemented method, system, and program product for hiding columns in an electronic table
US20170011441A1 (en) Methods and systems for simplifying ordering from online shops
US20110252460A1 (en) Methods, apparatus and systems for authenticating users and user devices to receive secure information via multiple authorized channels
US6928623B1 (en) Method and system for selecting a target window for automatic fill-in
US9948679B2 (en) Object-relation user interface for viewing security configurations of network security devices
KR20150043344A (ko) 다른 형태의 정보 공유를 통한 코브라우징의 통합
US9053196B2 (en) Methods for interacting with and manipulating information and systems thereof
CN109598570A (zh) 增强和虚拟现实报价到收银系统
CN113407086B (zh) 对象拖拽方法、设备和存储介质
CN111930290B (zh) 资源部署方法及装置
CN110535679A (zh) 切片的管理方法、架构、网络切片销售平台和管理系统
RU2633149C2 (ru) Способ и система автоматического генерирования графического пользовательского интерфейса и компьютерный носитель для выполнения способа с использованием системы
US8121900B1 (en) Facilitating review of products considered for purchase
KR20210147074A (ko) 맞춤형 인공 지능 생산 라인을 실행하기 위한 장치, 방법, 기기 및 매체
KR102402166B1 (ko) 인터랙티브 시뮬레이션 기반 플레이북을 통한 보안 이벤트 대응 지원 방법 및 장치
US20050262021A1 (en) Method and system for performing automated transactions using a server-side script-engine
CN110020279A (zh) 页面数据处理方法、装置及存储介质
US20140040772A1 (en) Highlighting graphical user interface components based on usage by other users
US20190197453A1 (en) Aggregating computer functions across different computer applications
CN106485478A (zh) 利用资源换置目标物的换置系统、方法及装置
US20150294399A1 (en) Systems and methods for exchanging items
CN108805541A (zh) 一种支付方法和系统、存储介质
US20140040785A1 (en) Browser-based process flow control responsive to an external application
US20220138275A1 (en) Digital search results generation

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant