데이터 프로비넌스란 무엇인가? 예시 및 모범 사례

데이터 프로비넌스란 무엇인가?

오전 1시 47분, 클라우드 인프라에 침해 사고가 발생합니다. 사고 대응 팀은 세 가지 질문에 답하기 위해 분주하게 움직입니다. 이 데이터는 어디에서 유래했는가? 누가 접근했는가? 수집부터 유출까지 어떻게 변경되었는가? 상세한 프로비넌스 데이터와 감사 추적에서 도출된 명확한 답변이 없다면, 포렌식 조사는 지연되고, 컴플라이언스 상태는 약화되며, 법무팀은 법적 증거를 확보하지 못합니다.

데이터 프로비넌스는 이러한 문제를 해결합니다. NIST 컴퓨터 보안 자원 센터에 따르면, 데이터 프로비넌스는 "정보의 생성, 전송 및 저장 방법을 포함하며, 시스템과 워크플로우에서 처리된 정보의 출처를 추적하는 데 사용될 수 있다"고 정의합니다. 데이터 프로비넌스는 데이터가 생성된 순간부터 모든 변환, 접근 이벤트, 저장 위치까지 전체 수명 주기 동안 모든 데이터를 추적합니다.

데이터 프로비넌스는 데이터의 포렌식 지문입니다. 데이터가 어디에서 왔는지, 누가 다루었는지, 각 단계에서 무슨 일이 있었는지 알려줍니다.

데이터 프로비넌스와 사이버 보안의 관계

데이터 프로비넌스는 포렌식 무결성, 위협 헌팅, 규제 준수를 연결합니다. CISA 사고 대응 플레이북(2024년 8월)은 NIST SP 800-61 사고 대응 단계 전반에 걸쳐 프로비넌스 추적을 내장하고 있으며, 특히 분석 단계에서 데이터 출처를 이해하는 것이 효과적인 복구에 필수적입니다.

 ACM Computing Surveys에 게재된 동료 검토 연구는 이러한 시스템의 운영적 가치를 확인하며, 프로비넌스 기반 침입 탐지가 오탐을 줄이고 실제 공격을 식별하며, 프로비넌스 그래프에서 시스템 활동을 인과적으로 연결하여 조사를 용이하게 하는 유망한 접근법임을 언급합니다.

실제 사고는 프로비넌스의 중요성을 보여줍니다.  2023년 MGM 리조트 공격에서는 공격자가 소셜 엔지니어링을 통해 초기 접근 권한을 획득하여 1억 달러 이상의 손실이 발생했습니다. 강력한 프로비넌스 추적을 갖춘 조직은 이러한 공격 타임라인을 수 주가 아닌 수 시간 내에 재구성할 수 있으며, 정확히 어떤 자격 증명이 탈취되었고 어떤 시스템에 접근했는지 파악할 수 있습니다.

수평 이동 사고를 조사할 때, 프로비넌스 데이터는 전체 공격 체인 재구성을 가능하게 합니다. 어떤 자격 증명이 사용되었는지, 어떤 시스템에 접근했는지, 어떤 순서로 이루어졌는지 문서화합니다. 이 문서화는 흩어진 보안 경보를 즉각적으로 대응 가능한 일관된 공격 내러티브로 전환합니다.

프로비넌스의 다양한 유형을 이해하면 무엇을 수집하고 보안 운영 전반에 어떻게 적용할지 결정할 수 있습니다.

데이터 프로비넌스의 유형

데이터 프로비넌스는 보안 운영에서 각각 고유한 목적을 가진 두 가지 주요 범주로 나뉩니다.

1. 예측적 프로비넌스는 무엇이 일어나야 하는지의 명세를 캡처합니다. 실행 전에 예상 워크플로우, 승인된 데이터 경로, 허가된 처리 단계를 정의합니다. 사이버 보안에서 예측적 프로비넌스는 보안 기준선을 설정합니다. 승인된 소프트웨어 빌드 파이프라인, 시스템 간 허가된 데이터 흐름, 예상 접근 패턴을 문서화합니다. 소프트웨어 공급망 정책이 운영 코드가 배포 전에 세 개의 검증된 빌드 단계를 거쳐야 한다고 명시한다면, 그 명세가 예측적 프로비넌스입니다.
2. 회고적 프로비넌스는 실제로 일어난 일을 캡처합니다. 모든 프로세스, 변환, 접근 이벤트의 상세 실행 이력을 사후에 기록합니다. 이는 포렌식 조사와 가장 직접적으로 관련된 유형입니다. 회고적 프로비넌스는 SOC 팀에 어떤 프로세스가 실행되었는지, 어떤 파일이 수정되었는지, 어떤 자격 증명이 사용되었는지 정확히 알려줍니다. SentinelOne의 Storyline 기술이 프로세스 생성부터 수평 이동까지 공격 타임라인을 재구성할 때, 이는 회고적 프로비넌스를 구축하는 것입니다.

보안 가치는 두 가지를 비교할 때 나타납니다. 회고적 프로비넌스가 예측적 프로비넌스와 다를 때, 조사가 필요한 이상 현상이 발생한 것입니다. 빌드 파이프라인에 갑자기 승인되지 않은 단계가 포함되거나, 데이터 흐름이 예상치 못한 서버를 경유하거나, 사용자 계정이 승인된 패턴을 벗어나 리소스에 접근하는 경우 모두 예상과 실제 사이의 격차를 의미합니다.

데이터베이스 연구에서는 프로비넌스를 답하는 질문에 따라 다음과 같이 구분하기도 합니다:

• Why-provenance는 특정 출력에 어떤 입력이 기여했는지 식별합니다. 보안 운영에서: 왜 이 경보가 발생했는가?
• How-provenance는 적용된 변환을 문서화합니다. 보안 운영에서: 이 파일은 어떻게 수정되었는가?
• Where-provenance는 특정 데이터 값이 어떤 소스 위치에서 왔는지 추적합니다. 보안 운영에서: 이 자격 증명은 어디에서 유래했는가?

이러한 범주는 SOC 팀이 모든 조사에서 묻는 질문과 직접적으로 연결되며, 프로비넌스 시스템이 무엇을 캡처해야 하는지 결정합니다.

데이터 프로비넌스와 데이터 계보의 차이

데이터 프로비넌스와 데이터 계보는 겹치는 부분이 있지만, 운영 목적은 다릅니다. 두 개념을 혼동하면 포렌식 역량과 컴플라이언스 상태 모두에 공백이 생깁니다.

• 데이터 계보는 데이터가 소스에서 목적지로 이동하는 흐름을 매핑합니다. 변환 경로, 처리 단계, 시스템 간 이동을 추적하여 "이 데이터가 어떻게 여기까지 왔는가?"에 답합니다. 계보는 고객 기록이 CRM 데이터베이스에서 ETL 파이프라인을 거쳐 데이터 웨어하우스로 이동해 분기별 보고서로 집계되는 과정을 보여줍니다. 보안 맥락에서 계보는 공격이 환경 내에서 어떻게 확산되었는지 이해하는 데 도움이 됩니다.
• 데이터 프로비넌스는 계보에 없는 포렌식 계층을 추가합니다. "누가 언제 어떤 권한으로 이 데이터를 다루었는가?"에 답합니다. 프로비넌스는 책임 주체, 모든 상호작용의 타임스탬프, 출처부터 현재 상태까지의 관리 체인을 기록합니다. 조사 중에는, 프로비넌스가 특정 서비스 계정이 오전 2시 14분에 해당 고객 기록에 접근해 세 개 필드를 수정하고 결과를 외부 IP로 전송했음을, 모든 상호작용이 단일 신원과 전체 감사 메타데이터로 연결되어 있음을 알려줍니다.

보안 팀에는 둘 다 필요합니다. 계보는 공격 경로를 재구성하고, 프로비넌스는 규제 감사와 법적 절차에서 인정받는 관리 체인을 구축합니다.  W3C PROV 표준은 엔터티-액티비티-에이전트 모델을 통해 두 차원을 모두 인코딩합니다. 엔터티는 데이터 상태, 액티비티는 변환(계보), 에이전트는 책임(프로비넌스)을 캡처합니다.

프로비넌스와 계보가 다양한 산업에서 실제로 어떻게 작동하는지 보면 이러한 구분이 명확해집니다.

데이터 프로비넌스 사례

데이터 프로비넌스는 데이터 무결성, 포렌식 책임성, 규제 준수가 요구되는 모든 산업에서 적용됩니다.

• 소프트웨어 공급망 보안.  2020년 SolarWinds 침해 당시, 공격자는 합법적인 소프트웨어 빌드 파이프라인에 악성 코드를 주입했습니다. 소프트웨어 프로비넌스 추적(Software Bills of Materials, SBOM 및 서명된 빌드 증명서 포함)을 갖춘 조직은 배포된 버전이 예상 빌드 체인과 일치하는지 검증할 수 있었습니다. 프로비넌스 데이터가 없는 조직은 어떤 빌드가 침해되었는지 파악하는 데 수개월이 걸렸습니다.  NIST 안전한 소프트웨어 개발 프레임워크는 이제 소프트웨어 산출물에 대한 프로비넌스 통제를 의무화합니다.
• 의료 데이터 컴플라이언스. 병원과 임상 연구 기관은  HIPAA 감사 통제(§164.312(b)) 준수를 위해 환자 데이터 프로비넌스를 추적합니다. 보호 건강 정보의 모든 접근, 수정, 전송은 문서화된 관리 체인이 필요합니다. 데이터 침해 발생 시, 프로비넌스 기록을 통해 어떤 환자 기록이 누구에 의해 접근되었는지 컴플라이언스 팀이 정확히 파악할 수 있습니다.
• 클라우드 사고 조사. 일시적인 클라우드 환경에서는 컨테이너가 몇 분 만에 생성 및 종료됩니다. 오케스트레이션 계층에서의 프로비넌스 추적은 각 컨테이너가 종료 전에 무엇을 했는지, 어떤 데이터에 접근했는지, 어떤 API를 호출했는지, 어떤 네트워크 연결을 했는지 캡처합니다. 이 프로비넌스가 없으면, 포렌식 증거는 워크로드와 함께 사라집니다.
• AI 학습 데이터 무결성. 조직이 보안 운영을 위해 머신러닝 모델을 배포함에 따라, 프로비넌스 추적은 학습 데이터셋이 변조되지 않았음을 검증합니다. 2025년 CISA, NSA, FBI의 공동 권고는 데이터 프로비넌스를 AI 시스템을 데이터 오염 공격으로부터 보호하는 핵심 통제로 지정합니다.

이러한 사례는 개별 파일 접근 이벤트부터 기업 전체 공급망 검증까지 다양한 세분화 수준에서 프로비넌스가 작동함을 보여줍니다. 기본 구성 요소는 모든 사례에서 일관됩니다.

데이터 프로비넌스의 핵심 구성 요소

모든 데이터 프로비넌스 시스템은 상호 연결된 구조적 프레임워크에 의존합니다.  W3C PROV 표준은 세 가지 핵심 요소를 정의합니다:

• 엔터티: 추적 대상 데이터 객체로, 파일, 데이터베이스 레코드, 로그 항목, 네트워크 패킷, 디지털 증거 아티팩트 등이 포함됩니다. W3C PROV 표준은 엔터티를 "물리적, 디지털, 개념적 또는 고정된 측면을 가진 기타 사물"로 정의합니다.
• 액티비티: 엔터티를 생성하거나 변환하는 프로세스, 작업, 워크플로우로, 암호화 작업, 파일 전송, API 호출, 사용자 접근 이벤트 등이 해당됩니다. W3C 표준은 액티비티를 "프로세스, 작업, 워크플로우와 같은 동적 측면"으로 정의합니다.
• 에이전트: 액티비티에 책임이 있는 사람, 조직, 소프트웨어로, 사용자 계정, 서비스 프린시펄, 자동화 프로세스, 서드파티 통합 등이 포함됩니다. W3C PROV에 따르면, 에이전트는 "액티비티 또는 엔터티 존재에 책임을 지는 엔터티"입니다.

이 세 가지 요소는 wasGeneratedBy, wasAttributedTo, wasDerivedFrom과 같은 관계 유형을 통해 연결되어, 환경 전반의 인과 관계를 매핑하는 프로비넌스 그래프를 형성합니다.

운영 프로비넌스 시스템은 또한  NIST SP 800-171 감사 통제에서 요구하는 특정 메타데이터(타임스탬프, 소스 및 목적지 주소, 사용자 또는 프로세스 식별자, 이벤트 설명, 성공/실패 지표, 관련 파일명, 적용된 접근 제어 규칙 등)를 캡처합니다.

그래프 데이터베이스는 저장 기반을 제공하여, 프로비넌스 쿼리가 요구하는 관계 탐색을 가능하게 합니다. Common Event Format(CEF) 및 Open Cybersecurity Schema Framework(OCSF)와 같은 이벤트 포맷 표준은 다양한 보안 도구 전반에서 프로비넌스 데이터를 표준화하여, 엔드포인트, 네트워크, 클라우드 플랫폼 전반의 통합 분석을 지원합니다.

이러한 빌딩 블록이 갖춰지면, 실제 보안 환경에서 어떻게 연결되는지가 다음 질문입니다.

데이터 프로비넌스의 작동 방식

운영 환경에서 프로비넌스 시스템은 원시 이벤트 캡처부터 조사에 활용 가능한 컨텍스트까지 다섯 단계를 거쳐 데이터를 처리합니다.

• 1단계: 이벤트 캡처 및 수집. 프로비넌스 시스템은 엔드포인트, 네트워크 장치, 클라우드 감사 로그, 신원 제공자, 애플리케이션 계층에서 원시 텔레메트리를 수집합니다. 각 이벤트는 캡처 시점에 타임스탬프, 소스 식별자, 프로세스 컨텍스트 등 메타데이터로 태깅됩니다.
• 2단계: 정규화 및 스키마 매핑. 원시 이벤트는 수십 개 소스에서 다양한 포맷으로 도착합니다. SentinelOne의 Singularity Platform은 OCSF 정규화를 기본적으로 사용하여, 데이터를 사일로에서 해방시키고 수동 변환 없이 소스 간 상관 분석을 가능하게 합니다.
• 3단계: 그래프 구축 및 상관 분석. 정규화된 이벤트는 인과 관계를 사용해 프로비넌스 그래프로 연결됩니다. 프로세스 생성 이벤트는 파일 수정과 연결되고, 네트워크 연결은 자격 증명 사용과 연결되며, 신원 행위는 리소스 접근과 매핑됩니다. 이 그래프 구조는 고립된 로그 항목을 연결된 공격 체인으로 변환합니다.
• 4단계: 행위 분석 및 이상 탐지. 프로비넌스 그래프는 MITRE ATT&CK 프레임워크에 맞춘 행위 분석을 가능하게 합니다. 프로비넌스 엔터티를 ATT&CK 기법에 매핑함으로써, 보안 도구는 서비스 계정의 비정상 파일 접근, 프로세스의 이상 자식 프로세스 생성, 자격 증명 사용을 통한 수평 이동 등 의심스러운 패턴을 식별합니다.
• 5단계: 조사 및 대응. 팀이 경보를 조사할 때, 프로비넌스 데이터는 전체 컨텍스트를 제공합니다. 여러 플랫폼의 로그를 수동으로 상관 분석하는 대신, 단일 프로비넌스 그래프를 쿼리하여 최초 접근부터 모든 후속 행동까지 완전한 공격 타임라인을 재구성합니다.

이 운영 사이클은 조사 속도 향상부터 컴플라이언스 강화까지 보안 운영 전반에 측정 가능한 이점을 제공합니다.

데이터 프로비넌스의 주요 이점

효과적으로 구현된 데이터 프로비넌스는 조사 속도, 증거 무결성, 컴플라이언스, 위협 탐지, 클라우드 포렌식 등 다양한 영역에서 운영상의 이점을 제공합니다.

사고 조사 가속화

프로비넌스 그래프는 조사 시 분석가의 대부분 시간을 소모하는 수동 로그 상관 분석을 제거합니다. 분리된 보안 플랫폼을 오가며 조사하는 대신, 팀은 공격이 어떻게 진행되었는지 보여주는 통합 타임라인을 쿼리합니다. SentinelOne의 Storyline 기술은 수동 개입 없이 다양한 보안 이벤트를 자동으로 연결해 완전한 공격 내러티브를 제공합니다.

포렌식 증거 무결성

프로비넌스 기반 접근법은 사고 대응 중  디지털 포렌식 증거의 신뢰성을 강화합니다.  ACM Computing Surveys의 종합 조사에 따르면, 증거 취급 및 변환에 대한 프로비넌스 문서화는  ISO/IEC 27037의 디지털 증거 식별, 수집, 획득, 보존 요건을 직접적으로 지원합니다.

규제 준수 자동화

GDPR 30조는 데이터 컨트롤러가 처리 활동의 목적, 데이터 주체 범주, 수신자, 국제 전송 등을 포함한 상세 기록을 유지하도록 요구합니다. 데이터 프로비넌스 시스템은 이러한 기록을 자동으로 생성하여, 수동 컴플라이언스 부담을 일상적인 보안 운영의 부산물로 전환합니다.

고급 위협 탐지

프로비넌스 기반 침입 식별 시스템은 이벤트 간 인과 관계를 분석하여 시그니처 기반 도구가 놓치는 공격을 탐지합니다. 프로비넌스 그래프는 다단계 APT 캠페인, 머신 간 수평 이동, 개별 이벤트로 볼 때 정상처럼 보이는 우회 기법을 드러냅니다.

일시적 환경에서의 클라우드 포렌식

 Computer Science Review의 동료 검토 조사에 따르면, 데이터 프로비넌스는 클라우드 환경에서 사라지기 전 휘발성 데이터를 캡처하는 데 도움이 됩니다. 이 기능은 동적 자원 할당으로 인해 기존 증거 수집 방법이 실패하는 사고를 조사할 때 필수적입니다.

이러한 이점은 실제 구현 시 팀이 계획해야 할 과제와 함께 제공됩니다.

데이터 프로비넌스의 과제와 한계

프로비넌스 추적은 자체적인 운영 비용과 복잡성을 수반합니다. 다음 과제는 대규모로 프로비넌스를 도입하는 대부분의 조직에 영향을 미칩니다.

저장소 증가 및 성능 영향

프로비넌스 데이터는 빠르게 누적됩니다. 모든 보안 이벤트, 파일 접근, 프로세스 실행이 프로비넌스 그래프에 노드와 엣지를 추가합니다.  Computers & Security에 발표된 연구에 따르면, 이벤트 캡처 빈도가 높아질수록 프로비넌스 그래프의 저장 및 처리 요구가 크게 증가하며, 런타임 오버헤드는 실제 환경 배포의 주요 과제로 남아 있습니다.

플랫폼 간 단절

각 클라우드 제공업체는 별도의 감사 메커니즘을 유지하며, 포맷, 타임스탬프 표현, 보존 모델이 다릅니다. GCP는 프로젝트별로 두 개의 별도 로그 스트림을 사용하고, AWS는 자체 이벤트 구조를 가진 CloudTrail을 사용합니다. OCSF와 같은 표준이 등장하여, 여러 소스에서 통합된 프로비넌스 추적을 가능하게 하는 데이터 스키마 표준화를 지원합니다.

일시적 워크로드의 사각지대

기존 프로비넌스 도구는 영구 인프라에 초점을 맞추며, 서버리스 함수, 오토스케일링 컨테이너, 메모리 전용 프로세스에는 취약합니다. 클라우드 환경에서는 휘발성 데이터가 수집 전에 덮어써질 수 있어, 최신 공격이 작동하는 바로 그 지점에서 포렌식 공백이 발생합니다.

신원 상관 분석의 복잡성

공격자가 AWS, Azure, GCP, 온프레미스 시스템을 오가며 신원 단절을 악용해 프로비넌스 체인을 끊습니다. 각 플랫폼은 별도의 신원 저장소를 유지하며, 단일 행위자의 행동을 이들 환경 전반에서 상관 분석하려면 프로비넌스 추적 전 통합 신원 매핑이 필요합니다.

이러한 과제를 인지하면 프로비넌스 프로그램을 좌초시키는 실수를 피하고, 올바른 실무를 초기에 적용할 수 있습니다.

데이터 프로비넌스 모범 사례

데이터 프로비넌스의 운영 성숙도는 무엇을 해야 하는지와 무엇이 진전을 방해하는지 모두 아는 데서 시작합니다.

1. NIST SP 800-171 감사 통제에 대한 갭 분석으로 시작하십시오. 현재 로깅 범위를  NIST SP 800-171의 타임스탬프, 사용자 식별자, 소스 및 목적지 주소, 이벤트 설명, 접근 제어 규칙 요건에 매핑하십시오. 프로비넌스 메타데이터가 누락된 부분을 식별합니다.
2. 가능하면 OCSF 등 단일 스키마로 조기 정규화하십시오. Open Cybersecurity Schema Framework는 크로스 플랫폼 프로비넌스 정규화의 업계 표준이 되었습니다. 모든 프로비넌스 데이터를 수집 시 정규화하면, 엔드포인트, 네트워크, 클라우드 인프라 전반의 상관 분석 문제를 제거할 수 있습니다.
3. 위험 기반 캡처와 계층화된 보존을 구현하십시오. 도메인 컨트롤러, 금융 데이터베이스 등 고가치 자산은 모든 이벤트를 추적하고, 일반 워크스테이션은 샘플링을 사용하십시오. 분석가가 적극적으로 조사하는 최근 데이터는 핫 스토리지에, 컴플라이언스 보존용 데이터는 콜드 티어에 저장하십시오.
4. 프로비넌스 엔터티를 MITRE ATT&CK 기법에 매핑하십시오. 프로비넌스 그래프의 노드와 엣지를 ATT&CK 전술에 맞춰 매핑하여, SOC 분석가가  위협 헌팅 및 탐지 엔지니어링에 사용하는 동일한 프레임워크로 프로비넌스 데이터를 쿼리할 수 있도록 하십시오.
5. 사고 발생 전 포렌식 준비 태세를 확립하십시오.  ISACA 포렌식 준비 프레임워크는 증거 수집 절차 정의와 필요한 프로비넌스 메타데이터 명세를 사전에 강조합니다. 모든 테이블탑 연습과 퍼플팀 연계에 프로비넌스 데이터 검증을 포함하십시오.
6. 신원 연동 및 프로비넌스 무결성 보호. 단일 행위자가 AWS, Azure, GCP, 온프레미스 시스템 전반에서 확실히 상관 분석될 수 있도록 하십시오. 암호화 해싱, 쓰기 전용 저장소,  엄격한 접근 제어를 사용해 프로비넌스 기록이 생성 후 변조되지 않도록 하여, ISO/IEC 27037:2012 기준에 따라 포렌식 정확성과 법적 증거력을 보호하십시오.
7. 일시적 워크로드를 고려하십시오. 서버리스 함수와 오토스케일링 컨테이너는 오케스트레이션 계층에서 프로비넌스 캡처가 필요합니다. 모든 서버리스 함수와 오브젝트 스토리지에 대한 데이터 이벤트 로깅을 구성하여, 동적 환경에서도 커버리지를 확보하십시오.

이러한 실무가 정립되면, 적합한 플랫폼이 대규모 프로비넌스 운영을 가능하게 합니다.

SentinelOne으로 데이터 프로비넌스 강화

AI 보안은 데이터에서 시작합니다. 데이터가 풍부해서가 아니라, 이 단계에서의 실수는 되돌릴 수 없기 때문입니다. 통합 DSPM 기능을 갖춘 Singularity™ Cloud Native Security는 조직이 클라우드 데이터가 AI 파이프라인에 도달하기 전에 “안전한 학습” 게이트를 설정할 수 있도록 지원합니다. CNS는 클라우드 네이티브 데이터베이스와 오브젝트 스토리지에 대한 심층 가시성을 제공하여, 팀이 관리되지 않거나 잊혀진 데이터 소스를 발견하고, 정책 기반 정밀도로 민감 정보를 분류하며, 고위험 데이터가 학습 또는 추론 워크플로우에 사용되는 것을 방지할 수 있도록 합니다. SentinelOne의 DSPM은 명확한 데이터 계보와 거버넌스를 확립하여, 조직이 민감 데이터가 AI 파이프라인과 클라우드 환경 전반에서 어떻게 이동, 변환, 접근되는지 정확히 추적할 수 있도록 보장합니다. 

SentinelOne의  Singularity Platform은 보안 운영을 위해 구축된 통합 기능을 통해 데이터 프로비넌스를 제공합니다.

Storyline 기술은 프로세스 생성, 네트워크 연결, 파일 수정, 자격 증명 사용을 지속적으로 연결하여 자율적으로 공격 타임라인을 재구성하고, 일관된 프로비넌스 체인을 형성합니다.  2024년 MITRE ATT&CK 평가에서 SentinelOne은 100% 탐지, 지연 0건, 평가된 모든 벤더의 중간값 대비 88% 적은 경보를 달성했습니다.

Purple AI는 엔드포인트, 클라우드, 네트워크, 사용자 데이터의 프로비넌스 정보를 집계 및 상관 분석합니다. 보안 분석가는 복잡한 독점 스키마 대신 자연어로 프로비넌스 데이터를 쿼리할 수 있으며, 플랫폼은 즉시 실행 가능한 대응 조치를 추천합니다.

 Singularity Data Lake는 프로비넌스에 필요한 저장 기반을 제공합니다. 모든 데이터는 실시간 분석을 위해 핫 상태로 유지되며, OCSF 정규화가 데이터를 자동으로 사일로에서 해방시키고, 최대 365일 이상의 유연한 보존 옵션으로 장기 조사 기간 동안 포렌식 증거를 확보할 수 있습니다.  Singularity RemoteOps Forensics는 위협이 탐지되는 즉시 자율적으로 포렌식 증거 수집을 트리거하며, 수집된 증거는 즉시 분석을 위해 Data Lake에 파싱 및 수집됩니다.

SentinelOne 데모 요청을 통해 프로비넌스 기반 보안 운영이 조사 워크플로우를 어떻게 강화할 수 있는지 평가해 보십시오.

핵심 요약

데이터 프로비넌스는 데이터의 출처부터 모든 변환까지 추적하여, 사고 조사, 컴플라이언스, 위협 탐지의 포렌식 기반을 제공합니다. 예측적, 회고적 두 가지 주요 유형이 예상 행동과 실제 실행을 비교해 이상 현상을 드러냅니다. 

SentinelOne의 Singularity Platform은 Storyline 공격 재구성,  Purple AI 자연어 조사, OCSF 정규화 Data Lake 저장소, RemoteOps Forensics를 통한 자율 증거 수집으로 프로비넌스를 운영화합니다.