search

마이터어택

circle-info

마이터 어택(MITRE ATT&CK) 은 실제 사이버 공격 행위를 기반으로 한 공격 전술(Tactic) 과 기술(Technique) 의 지식 베이스입니다. PLURA는 이를 기반으로 각 로그 이벤트를 분석하여 공격자가 어떤 단계에서 어떤 행동을 수행했는지를 식별하고, 탐지·차단된 이벤트를 TID(Technique ID) 단위로 분류해 제공합니다.

hashtag
1. 탐지 페이지

  • 호스트보안 탐지 로그 중 마이터 어택 분류로 등록된 필터‘마이터 어택’ 전용 페이지에서 별도로 조회됩니다.

  • 컬럼 구성: 번호, 필터명, 그룹, 호스트, 호스트명, TID, 플랫폼, 전술, 기술, 유형, 날짜, 이동

  • TID 아이콘 클릭 시 MITRE ATT&CK 매트릭스의 해당 기술 페이지(https://attack.mitre.orgarrow-up-right) 로 이동합니다.

hashtag
2. TID 기반 탐지 구조

  • 각 탐지 로그는 TID(Technique ID) 값과 함께 표시됩니다.

  • 예시:

    • T1116 — 탐색: 시스템 네트워크 환경설정 검색

    • T1098 — 권한 유지: 계정 조작

    • T1223 — 명령 및 제어: 침입 도구 전송

  • 다중 탐지 시, 상단에 주요 TID가 함께 노출되어 복합 공격 패턴 분석이 가능합니다.

hashtag
3. 상세 분석 및 이동 기능

  • 로그 클릭 시 상단에는 TID별 요약 정보(전술·기술·플랫폼·데이터 소스)가, 하단에는 해당 이벤트의 필터명, 본문(msg), 프로그램명, 해시 정보(HASH) 등이 표시됩니다.

  • 이동 버튼을 통해 관련 로그(호스트보안·전체로그·시스템관리)로 연동 이동이 가능합니다.

  • 시간 동기화 기능(전체로그 ±1s~±60s)을 통해 동일 시점의 다른 이벤트와 연계 분석이 가능합니다.

hashtag
4. AI 분석 연동

  • AI 버튼을 통해 탐지된 TID 이벤트를 자동 해석하여 공격 의도, 연관 기술, 전술 단계, 위험도 요약을 제공합니다.

  • 관리 메뉴의 AI 프롬프트 > 필터탐지 > 마이터 어택에서 분석 템플릿을 설정할 수 있습니다.

hashtag
5. 차단 및 알림 연동

  • 차단 버튼을 통해 해당 전술·기술 유형의 이벤트를 재탐지 시 방어 정책이 적용됩니다.

  • 개인알림 메뉴에서도 “마이터 어택 탐지/차단” 유형을 선택하여 메일·Syslog 알림 설정이 가능합니다

Previous호스트보안Next상관분석

Last updated