멀티소스 사건과 증거를 분석 전에 고정해 AI가 사실을 지어낼 여지를 줄입니다.
Sentivex Evolution Engine
SEE
Sentivex Evolution Engine
SEE는 쏟아지는 보안 경보를 사람이 믿고 결정할 수 있는 사건으로 바꿉니다. AI가 사실을 지어내지 않도록 근거를 먼저 고정하고, 분석 과정과 분석자가 읽는 화면을 함께 남겨 신뢰할 수 있는 대응으로 이어줍니다.
IOC·CVE·해시를 유사도 대신 결정적 조회로 확인하고 unknown은 unknown으로 둡니다.
사건 특성에 맞는 specialist lens만 병렬로 켜서 필요한 관점만 분석합니다.
서로 다른 모델 계열이 결론을 병합하고 충돌 지점을 드러냅니다.
false-clear, evidence gap, 실행 위험을 검토하고 사람 승인 경계에서 멈춥니다.
자동 처리하기 어려운 사건은 Agentic Ticket으로 전환해 MDR·SOC 대응으로 넘깁니다.
SEE
SEE Process
Sentivex Evolution Engine를 실제 운영 흐름으로 읽을 수 있게 단계와 화면을 함께 제공합니다.LIVE / SEE_ANALYSIS_PIPELINE
SEE 분석 파이프라인
Stage 1은 사건 번들을 결정적으로 고정하고, Stage 2는 multi-lens 분석과 합의, critic, HITL, 보고서, SIT 전환을 하나의 운영 trace로 남깁니다.Processing Flow
SEE Core Patterns
Flow Pattern Lab의 실제 컴포넌트 흐름을 그대로 사용합니다. 벤더 이벤트 자율 분석, 21+ lens 병렬 분석, Decision Report가 SEE의 핵심 작동 구조입니다.Pattern 14 · Incident Autonomy
벤더 이벤트 기반 Sentivex 자율 분석
벤더 인시던트와 알럿 발생이 사건 단위로 Sentivex Core에 들어오고, 결정적 grounding·TI hunting·AI agent 분석을 거쳐 판정과 합의 이후 처리 경로로 분기됩니다.
Pattern 02 · Parallel Lens Orbital
21+ lens 병렬 분석
인시던트나 알럿이 전처리·후처리·TI hunting을 거친 뒤 필요한 specialist lens만 선택되어 병렬로 작동합니다. 사건에 따라 2개, 3개, 6개, 18개, 22개처럼 가동 범위가 달라지고, 포커스는 완료 순서의 마지막 lens를 가리킵니다.
parallel run
프로세스 부모·자식 관계와 실행 순서를 따라 초기 실행점과 의심 커맨드를 찾습니다.
계정, 토큰, 인증 실패·성공 이벤트를 묶어 credential access 가능성을 확인합니다.
외부 통신, C2 후보, 비정상 포트·도메인 접속을 네트워크 관점으로 재구성합니다.
로그 삭제, 정책 우회, 보안 도구 회피 신호가 있는지 회피 전술 기준으로 검토합니다.
예약 작업, 서비스 등록, 시작 프로그램 등 재실행 지속성을 만드는 흔적을 찾습니다.
호스트 간 이동, 원격 실행, 인증 재사용 흐름을 따라 확산 가능성을 판단합니다.
해시, IP, 도메인, 파일 경로를 추출해 외부 평판과 내부 재관측 근거로 검증합니다.
관측된 행위를 MITRE tactic/technique 후보로 매핑해 보고와 헌팅 기준을 만듭니다.
전체 근거를 사건 유형으로 묶고 후속 판정·합의 단계에 넘길 분류 축을 만듭니다.
대량 전송, 압축, 외부 업로드, 비정상 egress 패턴으로 유출 가능성을 봅니다.
예약 작업 생성·변경과 반복 실행 흔적을 확인해 지속성 또는 자동 실행을 판별합니다.
사용자 평소 행위와 다른 로그인, 실행, 접근 패턴을 비교해 이상 행동을 찾습니다.
클라우드 계정, 권한 상승, 세션 토큰 사용 흐름을 ID 중심으로 확인합니다.
취약 서비스, 익스플로잇 흔적, 패치 공백이 사건의 진입점인지 검토합니다.
긴 쿼리, 반복 서브도메인, 터널링 의심 패턴으로 DNS 기반 유출을 점검합니다.
차단 정책, EDR 상태, 보호 기능 비활성화 여부로 엔드포인트 방어 상태를 봅니다.
알럿·프로세스·네트워크·사용자 이벤트를 시간축으로 정렬해 인과관계를 만듭니다.
정찰부터 실행, 지속, C2, 영향 단계까지 현재 사건이 어디에 있는지 표시합니다.
내부자 오남용 가능성을 권한, 접근 대상, 반복 행동 변화 관점으로 분리합니다.
컨테이너 이미지, 런타임, 권한, 네트워크 격리 위반 가능성을 확인합니다.
메일 유입, 링크 클릭, 첨부 실행, 계정 탈취 흐름을 피싱 관점으로 재구성합니다.
노출 자산, 취약 서비스, 외부 접근면이 사건 확산 조건인지 확인합니다.
Pattern 05 · Decision Report
Critic, HITL, Reporter, ITSM
검증 결과가 사람 게이트와 보고서 생성을 거쳐 운영 티켓으로 나가는 4열 트리입니다.