운영에서는 엣지와 오리진, 사용자 ID와 IP, 토큰과 API key 기준을 조합한다.
DETECTION
탐지와 대응 도구는 관측 지점이 다르다
IDS, IPS, WAF, SIEM, EDR은 같은 보안 장비가 아니라 서로 다른 위치에서 신호를 수집하고 대응한다.
networkapplicationendpoint
IDS탐지와 알림
네트워크 또는 호스트 이벤트를 보고 경보를 만든다.
IPS인라인 차단
탐지한 트래픽을 흐름 중간에서 차단할 수 있다.
WAF웹 요청 보호
HTTP 계층 공격 패턴과 봇 동작을 다룬다.
SIEM상관분석
로그를 모아 탐지, 조사, 대응 워크플로의 중심이 된다.
EDR엔드포인트 대응
단말 행위 탐지, 격리, 프로세스 조사에 초점을 둔다.
공유 저장소, 프록시 헤더 신뢰, NAT·모바일망 공유 IP, IP 분산 공격을 함께 고려한다.