Sentivex Evolution Engine

SEE

Sentivex Evolution Engine

SEE는 쏟아지는 보안 경보를 사람이 믿고 결정할 수 있는 사건으로 바꿉니다. AI가 사실을 지어내지 않도록 근거를 먼저 고정하고, 분석 과정과 분석자가 읽는 화면을 함께 남겨 신뢰할 수 있는 대응으로 이어줍니다.

Grounded Bundle

멀티소스 사건과 증거를 분석 전에 고정해 AI가 사실을 지어낼 여지를 줄입니다.

TI Exact Match

IOC·CVE·해시를 유사도 대신 결정적 조회로 확인하고 unknown은 unknown으로 둡니다.

21+ Lens Analysis

사건 특성에 맞는 specialist lens만 병렬로 켜서 필요한 관점만 분석합니다.

Dual Reconciler

서로 다른 모델 계열이 결론을 병합하고 충돌 지점을 드러냅니다.

Critic & HITL

false-clear, evidence gap, 실행 위험을 검토하고 사람 승인 경계에서 멈춥니다.

SIT Handoff

자동 처리하기 어려운 사건은 Agentic Ticket으로 전환해 MDR·SOC 대응으로 넘깁니다.

SEE

SEE Process

Sentivex Evolution Engine를 실제 운영 흐름으로 읽을 수 있게 단계와 화면을 함께 제공합니다.
사건 인입
근거 고정
다관점 검토
비평·조정
리포트 trace
SIT 인계

OPERATING PRINCIPLES

SEE Operating Policy

SEE의 목적은 사람이 볼 사건을 줄이고, 사람이 판단해야 할 사건은 더 빠르게 이해하게 만드는 것입니다. 사실 수집, AI 추론, 실행 결정의 경계를 분리해 분석 자동화가 운영 권한을 침범하지 않게 합니다.
FACT사실은 코드가 모읍니다

AI가 보기 전에 원본 이벤트와 IOC, 내부 관측 근거를 결정적으로 고정합니다.

INFERENCE추론은 AI가 합니다

여러 전문 관점이 같은 사건을 분석하고 서로의 결론을 검토합니다.

DECISION결정은 규칙과 사람이 합니다

고위험 조치와 불확실한 판단은 HITL 경계에서 멈추고 사람 승인으로 이어집니다.

NO SCORE UI점수는 사용자 화면에 내세우지 않습니다

confidence는 내부 라우팅 신호로만 쓰고, 사용자는 근거와 처리 흐름을 봅니다.

LIVE / SEE_ANALYSIS_PIPELINE

SEE 분석 파이프라인

Stage 1은 사건 번들을 결정적으로 고정하고, Stage 2는 multi-lens 분석과 합의, critic, HITL, 보고서, SIT 전환을 하나의 운영 trace로 남깁니다.
LIVE / see_analysis_pipeline
분석 파이프라인 · 9-단계 라이브
진행 중 · 73e6caa2
단계 0
데이터 전처리
1ms
단계 1
위협 데이터 분류
1 hints
단계 2
9분석기 동시
2.4s
단계 3
위협 인텔 조회
631ms
단계 4
이중 AI 분석
50.1s
단계 5
AI 결론 조정
10.5s
단계 6
결과 검증
대기
단계 6.5
HITL Gate
대기
단계 7
보고서
대기
단계 8
티켓 작성
대기
단계 8.5
후속 티켓
대기
단계 9
전송
대기
2 · 다중 공격 패턴 동시 분석
12/9 · BASE 12 · CANDIDATE 0
프로세스 체인
자격증명
네트워크 통신
방어 회피
지속성
횡적 이동
IOC 포렌식
MITRE 매핑
분류·심각도
데이터 유출
예약 작업
사용자 행동
클라우드 ID
취약점 상관
DNS 유출
엔드포인트 강화
타임라인 상관
킬체인 단계
내부자 위협
컨테이너 보안
이메일 피싱
합의: 8 inconclusive · 3 suspicious · 신뢰도 0.82 → HITL 추천
LIVE FEED · 6채널
대기 1.2s
전체단계알림티켓채팅분석기
02:23:50SYST-CONF 의견 충돌 · Model A Suspicious 0.82 ↔ Model B Benign 0.71 — Reconciler 조정
02:23:50SYS단계 8 · 티켓 작성 완료
02:23:50SYS단계 8.5 · 후속 티켓 분해 완료 (13ms) · 4 sub
02:23:50Forensic1) 즉시 보존 대상: 메모리(휘발성 데이터). 원격 접근 도구 로그·C2 아티팩트 수집.
02:23:50Hunterhunting hypothesis: 유사 캠페인 3건 · MITRE T1078.004 일치 · Kimsuky 가능성 22%
02:23:50IR현재 IR 단계: HITL 사인오프 (Containment→Eradication 이후, 최종 승인·종결 대기)
02:23:50SOC의견: 추가 검토 필요 — 불확실. critic 지적 2건의 세부 내용 확인 권장.
02:23:50DispatcherA16 DXE 선택 — CAP-0042 (점수 0.72) · Critical Asset → T3 강제
02:23:49SOC시만택 데이터인데 왜 크라우드스트라이크로 분석을 했지?
02:23:49SYS단계 7 · 보고서 작성 완료
SOCIRHunterForensicDispatcher
현재 분석/티켓에 대해 질문 (Enter)
SentivexSIEM-based SOC Operations Platform

Processing Flow

SEE Core Patterns

Flow Pattern Lab의 실제 컴포넌트 흐름을 그대로 사용합니다. 벤더 이벤트 자율 분석, 21+ lens 병렬 분석, Decision Report가 SEE의 핵심 작동 구조입니다.

Pattern 14 · Incident Autonomy

벤더 이벤트 기반 Sentivex 자율 분석

벤더 인시던트와 알럿 발생이 사건 단위로 Sentivex Core에 들어오고, 결정적 grounding·TI hunting·AI agent 분석을 거쳐 판정과 합의 이후 처리 경로로 분기됩니다.

live pattern
vendor event intake
벤더 인시던트
발생 · Cortex · Critical
벤더 알럿
발생 · CrowdStrike · High
OCSF finding
발생 · Symantec · Medium
TI match
재관측 · SentinelOne · Low
Sentivex Core
사건 단위 분석
Grounding
결정적 전·후처리
TI hunting
IOC · context
AI Agent 분석
에이전트 추론
판정
route
합의
A/B
이중협의
bot + human
분기 조율
orchestrate
triage
orchestr.
core
ground
TI
agent
triage
decide
agree
orch
dual
orchestrate
보고서 생성
summary draft
사람 협의
HITL discuss
티켓 발행
ITSM handoff

Pattern 02 · Parallel Lens Orbital

21+ lens 병렬 분석

인시던트나 알럿이 전처리·후처리·TI hunting을 거친 뒤 필요한 specialist lens만 선택되어 병렬로 작동합니다. 사건에 따라 2개, 3개, 6개, 18개, 22개처럼 가동 범위가 달라지고, 포커스는 완료 순서의 마지막 lens를 가리킵니다.

live pattern
3 lens
parallel run
process chain
credential
network comms
defense evasion
persistence
lateral movement
IOC forensic
MITRE mapping
classification
data exfiltration
scheduled task
user behavior
cloud identity
vulnerability
DNS exfiltration
endpoint hardening
timeline correlation
kill chain stage
insider risk
container security
email phishing
asset exposure
process chain

프로세스 부모·자식 관계와 실행 순서를 따라 초기 실행점과 의심 커맨드를 찾습니다.

credential

계정, 토큰, 인증 실패·성공 이벤트를 묶어 credential access 가능성을 확인합니다.

network comms

외부 통신, C2 후보, 비정상 포트·도메인 접속을 네트워크 관점으로 재구성합니다.

defense evasion

로그 삭제, 정책 우회, 보안 도구 회피 신호가 있는지 회피 전술 기준으로 검토합니다.

persistence

예약 작업, 서비스 등록, 시작 프로그램 등 재실행 지속성을 만드는 흔적을 찾습니다.

lateral movement

호스트 간 이동, 원격 실행, 인증 재사용 흐름을 따라 확산 가능성을 판단합니다.

IOC forensic

해시, IP, 도메인, 파일 경로를 추출해 외부 평판과 내부 재관측 근거로 검증합니다.

MITRE mapping

관측된 행위를 MITRE tactic/technique 후보로 매핑해 보고와 헌팅 기준을 만듭니다.

classification

전체 근거를 사건 유형으로 묶고 후속 판정·합의 단계에 넘길 분류 축을 만듭니다.

data exfiltration

대량 전송, 압축, 외부 업로드, 비정상 egress 패턴으로 유출 가능성을 봅니다.

scheduled task

예약 작업 생성·변경과 반복 실행 흔적을 확인해 지속성 또는 자동 실행을 판별합니다.

user behavior

사용자 평소 행위와 다른 로그인, 실행, 접근 패턴을 비교해 이상 행동을 찾습니다.

cloud identity

클라우드 계정, 권한 상승, 세션 토큰 사용 흐름을 ID 중심으로 확인합니다.

vulnerability

취약 서비스, 익스플로잇 흔적, 패치 공백이 사건의 진입점인지 검토합니다.

DNS exfiltration

긴 쿼리, 반복 서브도메인, 터널링 의심 패턴으로 DNS 기반 유출을 점검합니다.

endpoint hardening

차단 정책, EDR 상태, 보호 기능 비활성화 여부로 엔드포인트 방어 상태를 봅니다.

timeline correlation

알럿·프로세스·네트워크·사용자 이벤트를 시간축으로 정렬해 인과관계를 만듭니다.

kill chain stage

정찰부터 실행, 지속, C2, 영향 단계까지 현재 사건이 어디에 있는지 표시합니다.

insider risk

내부자 오남용 가능성을 권한, 접근 대상, 반복 행동 변화 관점으로 분리합니다.

container security

컨테이너 이미지, 런타임, 권한, 네트워크 격리 위반 가능성을 확인합니다.

email phishing

메일 유입, 링크 클릭, 첨부 실행, 계정 탈취 흐름을 피싱 관점으로 재구성합니다.

asset exposure

노출 자산, 취약 서비스, 외부 접근면이 사건 확산 조건인지 확인합니다.

Pattern 05 · Decision Report

Critic, HITL, Reporter, ITSM

검증 결과가 사람 게이트와 보고서 생성을 거쳐 운영 티켓으로 나가는 4열 트리입니다.

live pattern
Consensus
판정 합의
A/B 판정과 mediator 토론 결과를 검증·운영 단계로 넘깁니다.
Critic
근거 검증
근거 누락, 환각, 충돌, 정책 위반을 보고서 전 단계에서 걸러냅니다.
HITL gate
사람 승인
고위험, 불확실, 승인 필요 판단은 사람 협의나 보류로 분기합니다.
Reporter
보고서 생성
검증된 결론과 근거만 운영 보고서와 티켓 본문으로 정리합니다.
Incident ticket
메인 티켓
index-pm/ITSM에서 담당자, SLA, 상태, 감사 이력을 관리합니다.
Sub-ticket
후속 처리
HITL, 품질, 증거 공백, 합의 충돌을 하위 작업으로 분해합니다.