오늘은 UEBA(사용자 및 개체 행동 분석) 시장에 대한 간략한 개요를 제공하겠습니다. 가트너 연구. Gartner Hype Cycle for Threat-Facing Technologies에 따르면 UEBA 시장은 기술의 성숙도를 나타내는 "환멸 단계"의 바닥에 있습니다. 그러나 상황의 역설은 UEBA 기술에 대한 투자가 동시에 전반적으로 증가하고 독립 UEBA 솔루션 시장이 사라지고 있다는 것입니다. Gartner는 UEBA가 관련 정보 보안 솔루션의 기능의 일부가 될 것이라고 예측합니다. "UEBA"라는 용어는 더 이상 사용되지 않고 더 좁은 응용 분야(예: "사용자 행동 분석"), 유사한 응용 분야(예: "데이터 분석")에 초점을 맞춘 다른 약어로 대체되거나 단순히 일부 용어로 대체될 것입니다. 새로운 유행어(예를 들어 "인공지능"(AI)이라는 용어는 흥미로워 보이지만 현대 UEBA 제조업체에게는 전혀 의미가 없습니다.)

Gartner 연구의 주요 결과는 다음과 같이 요약될 수 있습니다.

• 사용자 및 개체의 행동 분석 시장의 성숙도는 이러한 기술이 중견기업 및 대기업 부문에서 다양한 비즈니스 문제를 해결하는 데 사용된다는 사실로 확인됩니다.
• UEBA 분석 기능은 CASB(클라우드 액세스 보안 브로커), IGA(ID 거버넌스 및 관리) SIEM 시스템과 같은 광범위한 관련 정보 보안 기술에 내장되어 있습니다.
• UEBA 공급업체에 대한 과대 광고와 "인공 지능"이라는 용어의 잘못된 사용으로 인해 고객은 파일럿 프로젝트를 수행하지 않고는 제조업체 기술과 솔루션 기능 간의 실제 차이점을 이해하기 어렵습니다.
• 고객은 기본적인 위협 탐지 모델만 고려하더라도 UEBA 솔루션의 구현 시간과 일상적인 사용이 제조업체가 약속한 것보다 더 노동 집약적이고 시간이 많이 걸릴 수 있다는 점에 주목합니다. 맞춤형 또는 엣지 사용 사례를 추가하는 것은 매우 어려울 수 있으며 데이터 과학 및 분석에 대한 전문 지식이 필요합니다.

전략적 시장 개발 예측:

• 2021년까지 UEBA(사용자 및 개체 행동 분석) 시스템 시장은 더 이상 별도의 영역으로 존재하지 않고 UEBA 기능을 갖춘 다른 솔루션으로 전환될 것입니다.
• 2020년까지 모든 UEBA 배포의 95%가 더 광범위한 보안 플랫폼의 일부가 될 것입니다.

UEBA 솔루션의 정의

UEBA 솔루션은 내장된 분석을 사용하여 사용자 및 기타 개체(예: 호스트, 애플리케이션, 네트워크 트래픽, 데이터 저장소)의 활동을 평가합니다.
이는 일반적으로 일정 기간 동안 유사한 그룹에 속한 사용자 및 엔터티의 표준 프로필 및 행동과 비교하여 비정상적인 활동을 나타내는 위협 및 잠재적 사고를 탐지합니다.

엔터프라이즈 부문에서 가장 일반적인 사용 사례는 위협 탐지 및 대응뿐 아니라 내부자 위협(주로 손상된 내부자, 때로는 내부 공격자)에 대한 탐지 및 대응입니다.

UEBA는 마치 결정과 함수, 특정 도구에 내장:

• 솔루션은 SIEM 솔루션을 별도로 판매하는 공급업체를 포함하여 "순수한" UEBA 플랫폼 제조업체입니다. 사용자와 엔터티 모두의 행동 분석에서 광범위한 비즈니스 문제에 중점을 둡니다.
• 임베디드 – UEBA 기능과 기술을 솔루션에 통합하는 제조업체/부서입니다. 일반적으로 보다 구체적인 비즈니스 문제에 중점을 둡니다. 이 경우 UEBA는 사용자 및/또는 엔터티의 동작을 분석하는 데 사용됩니다.

Gartner는 UEBA를 문제 해결사, 분석, 데이터 소스 등 세 가지 축으로 봅니다(그림 참조).

"순수한" UEBA 플랫폼과 내장형 UEBA 비교

Gartner는 "순수한" UEBA 플랫폼을 다음과 같은 솔루션으로 간주합니다.

• 추상적인 "비정상적인 사용자 활동 모니터링"뿐만 아니라 권한 있는 사용자 모니터링 또는 조직 외부로 데이터 출력과 같은 몇 가지 특정 문제를 해결합니다.
• 반드시 기본 분석 접근 방식을 기반으로 하는 복잡한 분석을 사용합니다.
• 인프라에 별도의 에이전트를 배포할 필요 없이 내장된 데이터 소스 메커니즘과 로그 관리 도구, 데이터 레이크 및/또는 SIEM 시스템을 포함하여 데이터 수집을 위한 여러 옵션을 제공합니다.
• 제품에 포함되지 않고 독립형 솔루션으로 구매 및 배포 가능
  다른 제품의 구성.

아래 표에서는 두 가지 접근 방식을 비교합니다.

표 1. "순수한" UEBA 솔루션과 내장형 솔루션 비교

범주	"순수한" UEBA 플랫폼	UEBA가 내장된 기타 솔루션
해결해야 할 문제	사용자 행동 및 엔터티 분석.	데이터가 부족하면 UEBA가 사용자나 엔터티의 동작만 분석하는 데 제한이 있을 수 있습니다.
해결해야 할 문제	다양한 문제를 해결하는 역할을 합니다.	제한된 작업 세트를 전문으로 합니다.
웹 로그 분석	주로 통계 모델, 기계 학습, 규칙 및 시그니처를 통해 다양한 분석 방법을 사용하여 이상 징후를 탐지합니다. 사용자 및 엔터티 활동을 생성하고 해당 사용자 및 동료의 프로필과 비교할 수 있는 분석 기능이 내장되어 있습니다.	순수 UEBA와 유사하지만 분석은 사용자 및/또는 엔터티로만 제한될 수 있습니다.
웹 로그 분석	규칙에만 국한되지 않는 고급 분석 기능. 예를 들어 엔터티를 동적으로 그룹화하는 클러스터링 알고리즘이 있습니다.	"순수한" UEBA와 유사하지만 일부 내장된 위협 모델의 엔터티 그룹화는 수동으로만 변경할 수 있습니다.
웹 로그 분석	비정상적인 활동을 식별하기 위해 사용자 및 기타 엔터티(예: 베이지안 네트워크 사용)의 활동과 행동의 상관 관계 및 개별 위험 행동의 집계.	순수 UEBA와 유사하지만 분석은 사용자 및/또는 엔터티로만 제한될 수 있습니다.
데이터 소스	내장된 메커니즘이나 SIEM 또는 Data Lake와 같은 기존 데이터 저장소를 통해 직접 데이터 소스로부터 사용자 및 엔터티에 대한 이벤트를 수신합니다.	데이터를 획득하는 메커니즘은 일반적으로 직접적이며 사용자 및/또는 기타 엔터티에만 영향을 미칩니다. 로그 관리 도구/SIEM/데이터 레이크를 사용하지 마세요.
데이터 소스	솔루션은 데이터의 주요 소스로 네트워크 트래픽에만 의존해서는 안 되며, 원격 분석을 수집하기 위해 자체 에이전트에만 의존해서도 안 됩니다.	솔루션은 네트워크 트래픽(예: NTA - 네트워크 트래픽 분석)에만 집중하거나 최종 장치(예: 직원 모니터링 유틸리티)에서 에이전트를 사용할 수 있습니다.
데이터 소스	사용자/엔티티 데이터를 컨텍스트로 포화시킵니다. IT 디렉터리(예: AD(Active Directory) 또는 기타 기계에서 읽을 수 있는 정보 리소스(예: HR 데이터베이스))의 구조적/비구조적 결합 데이터는 물론 구조화된 이벤트의 실시간 수집을 지원합니다.	순수 UEBA와 유사하지만 상황별 데이터의 범위는 경우에 따라 다를 수 있습니다. AD 및 LDAP는 임베디드 UEBA 솔루션에서 사용되는 가장 일반적인 상황별 데이터 저장소입니다.
가용성	나열된 기능을 독립형 제품으로 제공합니다.	UEBA 기능이 내장된 외부 솔루션을 구매하지 않고 내장 UEBA 기능을 구매하는 것은 불가능합니다.
출처: Gartner(2019년 XNUMX월)

따라서 특정 문제를 해결하기 위해 임베디드 UEBA는 기본 UEBA 분석(예: 간단한 비지도 머신러닝)을 사용할 수 있지만 동시에 필요한 데이터에 정확하게 접근할 수 있기 때문에 전체적으로 "순수한" UEBA보다 더 효과적일 수 있습니다. UEBA 솔루션. 동시에 "순수한" UEBA 플랫폼은 예상대로 내장된 UEBA 도구에 비해 더 복잡한 분석을 주요 노하우로 제공합니다. 이러한 결과는 표 2에 요약되어 있습니다.

표 2. '순수' UEBA와 내장형 UEBA의 차이점 결과

범주	"순수한" UEBA 플랫폼	UEBA가 내장된 기타 솔루션
웹 로그 분석	다양한 비즈니스 문제를 해결하기 위한 적용 가능성은 보다 복잡한 분석 및 기계 학습 모델에 중점을 둔 보다 보편적인 UEBA 기능 세트를 의미합니다.	더 작은 규모의 비즈니스 문제에 초점을 맞춘다는 것은 더 간단한 논리를 사용하여 애플리케이션별 모델에 초점을 맞춘 고도로 전문화된 기능을 의미합니다.
웹 로그 분석	각 애플리케이션 시나리오마다 분석 모델의 사용자 정의가 필요합니다.	분석 모델은 UEBA가 내장된 도구에 대해 사전 구성되어 있습니다. UEBA가 내장된 도구는 일반적으로 특정 비즈니스 문제를 해결하는 데 있어 더 빠른 결과를 얻습니다.
데이터 소스	기업 인프라의 모든 부분에서 데이터 소스에 액세스합니다.	데이터 소스 수가 적으며 일반적으로 해당 에이전트 또는 UEBA 기능이 있는 도구 자체의 가용성으로 인해 제한됩니다.
데이터 소스	각 로그에 포함된 정보는 데이터 소스에 의해 제한될 수 있으며 중앙 집중식 UEBA 도구에 필요한 모든 데이터를 포함하지 않을 수 있습니다.	에이전트가 수집하여 UEBA로 전송하는 원시 데이터의 양과 세부 사항을 구체적으로 구성할 수 있습니다.
구조	조직을 위한 완벽한 UEBA 제품입니다. SIEM 시스템 또는 데이터 레이크의 기능을 사용하면 통합이 더 쉬워집니다.	UEBA가 내장된 각 솔루션에 대해 별도의 UEBA 기능 세트가 필요합니다. 임베디드 UEBA 솔루션에는 에이전트 설치 및 데이터 관리가 필요한 경우가 많습니다.
Интеграция	각각의 경우 UEBA 솔루션을 다른 도구와 수동으로 통합합니다. 조직이 "아날로그 중 최고" 접근 방식을 기반으로 기술 스택을 구축할 수 있습니다.	UEBA 기능의 주요 번들은 이미 제조업체에서 도구 자체에 포함되어 있습니다. UEBA 모듈은 내장되어 있어 제거가 불가능하므로 고객이 직접 교체할 수 없습니다.
출처: Gartner(2019년 XNUMX월)

기능으로서의 UEBA

UEBA는 추가 분석의 이점을 누릴 수 있는 엔드투엔드 사이버 보안 솔루션의 기능이 되고 있습니다. UEBA는 이러한 솔루션의 기반이 되어 사용자 및/또는 엔터티 행동 패턴을 기반으로 하는 강력한 고급 분석 계층을 제공합니다.

현재 시장에 출시된 내장 UEBA 기능은 기술 범위별로 그룹화된 다음 솔루션에서 구현됩니다.

• 데이터 중심 감사 및 보호는 정형 및 비정형 데이터 스토리지(일명 DCAP)의 보안을 향상하는 데 주력하는 공급업체입니다.

  Gartner는 이 공급업체 범주에서 무엇보다도 다음과 같이 지적합니다. Varonis 사이버 보안 플랫폼는 다양한 정보 저장소에서 구조화되지 않은 데이터 권한, 액세스 및 사용의 변화를 모니터링하기 위해 사용자 행동 분석을 제공합니다.

• CASB 시스템, 적응형 액세스 제어 시스템을 사용하여 원치 않는 장치, 사용자 및 애플리케이션 버전에 대한 클라우드 서비스 액세스를 차단함으로써 클라우드 기반 SaaS 애플리케이션의 다양한 위협으로부터 보호합니다.

  시장을 선도하는 모든 CASB 솔루션에는 UEBA 기능이 포함되어 있습니다.

• DLP 솔루션 – 중요한 데이터가 조직 외부로 전송되거나 남용되는 것을 탐지하는 데 중점을 둡니다.

  DLP의 발전은 주로 콘텐츠 이해에 기반을 두고 있으며, 사용자, 애플리케이션, 위치, 시간, 이벤트 속도 및 기타 외부 요인과 같은 컨텍스트 이해에는 덜 중점을 두고 있습니다. DLP 제품이 효과적이려면 콘텐츠와 맥락을 모두 인식해야 합니다. 이것이 바로 많은 제조업체가 UEBA 기능을 솔루션에 통합하기 시작한 이유입니다.

• 직원 모니터링 일반적으로 법적 절차에 적합한 데이터 형식으로 직원의 행동을 기록하고 재생할 수 있는 기능입니다(필요한 경우).

  사용자를 지속적으로 모니터링하면 수동 필터링과 사람의 분석이 필요한 엄청난 양의 데이터가 생성되는 경우가 많습니다. 따라서 UEBA는 모니터링 시스템 내부에서 이러한 솔루션의 성능을 향상하고 위험도가 높은 사고만 감지하는 데 사용됩니다.

• 엔드포인트 보안 – EDR(엔드포인트 탐지 및 대응) 솔루션과 EPP(엔드포인트 보호 플랫폼)는 강력한 계측 및 운영 체제 원격 측정을 제공합니다.
  최종 장치.

  이러한 사용자 관련 원격 측정을 분석하여 내장된 UEBA 기능을 제공할 수 있습니다.

• 온라인 사기 – 온라인 사기 탐지 솔루션은 스푸핑, 맬웨어 또는 보안되지 않은 연결 악용/브라우저 트래픽 가로채기를 통해 고객 계정이 손상되었음을 나타내는 비정상적인 활동을 탐지합니다.

  대부분의 사기 솔루션은 UEBA, 거래 분석 및 장치 측정의 본질을 사용하며, 신원 데이터베이스의 관계를 일치시켜 이를 보완하는 고급 시스템을 사용합니다.

• IAM 및 액세스 제어 – Gartner는 순수 공급업체와 통합하고 해당 제품에 일부 UEBA 기능을 구축하는 액세스 제어 시스템 공급업체 간의 진화 추세에 주목합니다.
• IAM 및 IGA(Identity Governance and Administration) 시스템 UEBA를 사용하여 이상 탐지, 유사한 엔터티의 동적 그룹화 분석, 로그인 분석, 액세스 정책 분석과 같은 행동 및 ID 분석 시나리오를 처리합니다.
• IAM 및 권한 있는 액세스 관리(PAM) – 관리 계정 사용을 모니터링하는 역할로 인해 PAM 솔루션에는 관리 계정이 사용된 방법, 이유, 시기 및 위치를 보여주는 원격 측정 기능이 있습니다. 이 데이터는 UEBA에 내장된 기능을 이용해 관리자의 이상 행위나 악의적인 의도가 있는지 분석할 수 있습니다.
• 제조업체 NTA(네트워크 트래픽 분석) – 기계 학습, 고급 분석 및 규칙 기반 탐지를 결합하여 기업 네트워크에서 의심스러운 활동을 식별합니다.

  NTA 도구는 소스 트래픽 및/또는 흐름 기록(예: NetFlow)을 지속적으로 분석하여 주로 엔터티 동작 분석에 중점을 두고 정상적인 네트워크 동작을 반영하는 모델을 구축합니다.

• SIEM – 이제 많은 SIEM 공급업체가 SIEM에 내장되거나 별도의 UEBA 모듈로 고급 데이터 분석 기능을 갖추고 있습니다. 기사에서 설명한 것처럼 2018년부터 2019년 현재까지 SIEM과 UEBA 기능 간의 경계가 지속적으로 모호해졌습니다. "현대 SIEM을 위한 기술 통찰력". SIEM 시스템은 분석 작업과 보다 복잡한 애플리케이션 시나리오 제공에 더 능숙해졌습니다.

UEBA 애플리케이션 시나리오

UEBA 솔루션은 광범위한 문제를 해결할 수 있습니다. 그러나 Gartner 고객은 기본 사용 사례에 사용자 행동과 다른 엔터티 간의 빈번한 상관 관계를 표시하고 분석하여 달성되는 다양한 범주의 위협 탐지가 포함된다는 데 동의합니다.

• 무단 접근 및 데이터 이동;
• 권한이 있는 사용자의 의심스러운 행동, 직원의 악의적이거나 승인되지 않은 활동;
• 비표준 액세스 및 클라우드 리소스 사용
• 기타

UEBA가 정당화될 수 있는 사기 또는 직원 모니터링과 같은 비정형적인 비사이버 보안 사용 사례도 많이 있습니다. 그러나 IT 및 정보 보안 외부의 데이터 소스나 이 영역에 대한 깊은 이해가 있는 특정 분석 모델이 필요한 경우가 많습니다. UEBA 제조업체와 고객 모두가 동의하는 XNUMX가지 주요 시나리오와 애플리케이션은 아래에 설명되어 있습니다.

"악의적인 내부자"

이 시나리오를 다루는 UEBA 솔루션 제공업체는 직원과 신뢰할 수 있는 계약자에게 비정상적이거나 "나쁜" 또는 악의적인 행동만 모니터링합니다. 이 전문 분야의 공급업체는 서비스 계정이나 기타 인간이 아닌 개체의 동작을 모니터링하거나 분석하지 않습니다. 이로 인해 해커가 기존 계정을 탈취하는 지능형 위협을 탐지하는 데 중점을 두지 않습니다. 대신, 유해한 활동에 연루된 직원을 식별하는 것을 목표로 합니다.

본질적으로 "악의적인 내부자"라는 개념은 고용주에게 피해를 입힐 방법을 모색하는 악의적인 의도를 가진 신뢰할 수 있는 사용자에게서 비롯됩니다. 악의적인 의도는 측정하기 어렵기 때문에 이 범주의 최고의 공급업체는 감사 로그에서 쉽게 확인할 수 없는 상황별 동작 데이터를 분석합니다.

또한 이 분야의 솔루션 제공업체는 이메일 콘텐츠, 생산성 보고서, 소셜 미디어 정보 등 구조화되지 않은 데이터를 최적으로 추가하고 분석하여 행동에 대한 맥락을 제공합니다.

침해된 내부자 및 침해적 위협

문제는 공격자가 조직에 접근하고 IT 인프라 내에서 이동하기 시작하면 "나쁜" 행동을 신속하게 탐지하고 분석하는 것입니다.
APT(공격적 위협)는 알려지지 않았거나 아직 완전히 이해되지 않은 위협과 마찬가지로 탐지하기가 매우 어려우며 적법한 사용자 활동이나 서비스 계정 뒤에 숨어 있는 경우가 많습니다. 이러한 위협은 일반적으로 복잡한 운영 모델을 가지고 있습니다(예를 들어 " 사이버 킬 체인 해결") 또는 그들의 행동이 아직 유해한 것으로 평가되지 않았습니다. 이로 인해 간단한 분석(예: 패턴, 임계값 또는 상관 규칙별 일치)을 사용하여 탐지하기가 어렵습니다.

그러나 이러한 침해적 위협 중 다수는 비표준적인 행동을 초래하며 종종 의심하지 않는 사용자나 엔터티(손상된 내부자라고도 함)를 포함합니다. UEBA 기술은 이러한 위협을 탐지하고, 신호 대 잡음비를 개선하고, 알림 볼륨을 통합 및 줄이고, 나머지 경고의 우선 순위를 지정하고, 효과적인 사고 대응 및 조사를 촉진할 수 있는 몇 가지 흥미로운 기회를 제공합니다.

이 문제 영역을 대상으로 하는 UEBA 공급업체는 조직의 SIEM 시스템과 양방향 통합을 수행하는 경우가 많습니다.

데이터 유출

이 경우의 임무는 데이터가 조직 외부로 전송되고 있다는 사실을 감지하는 것입니다.
이 과제에 초점을 맞춘 공급업체는 일반적으로 이상 탐지 및 고급 분석과 함께 DLP 또는 DAG 기능을 활용하여 신호 대 잡음비를 개선하고 알림 볼륨을 통합하며 나머지 트리거의 우선 순위를 지정합니다. 추가 컨텍스트를 위해 공급업체는 일반적으로 네트워크 트래픽(예: 웹 프록시) 및 엔드포인트 데이터에 더 많이 의존합니다. 이러한 데이터 소스를 분석하면 데이터 유출 조사에 도움이 될 수 있기 때문입니다.

데이터 유출 탐지는 조직을 위협하는 내부자 및 외부 해커를 잡는 데 사용됩니다.

권한 있는 액세스 식별 및 관리

이 전문 분야의 독립 UEBA 솔루션 제조업체는 과도한 권한이나 비정상적인 액세스를 식별하기 위해 이미 형성된 권리 시스템을 배경으로 사용자 행동을 관찰하고 분석합니다. 이는 권한 있는 계정과 서비스 계정을 포함하여 모든 유형의 사용자 및 계정에 적용됩니다. 또한 조직에서는 UEBA를 사용하여 필요보다 높은 휴면 계정과 사용자 권한을 제거합니다.

사고 우선순위

이 작업의 목표는 기술 스택의 솔루션에서 생성된 알림의 우선순위를 지정하여 먼저 해결해야 할 사고 또는 잠재적 사고를 이해하는 것입니다. UEBA 방법론과 도구는 특정 조직에서 특히 변칙적이거나 특히 위험한 사고를 식별하는 데 유용합니다. 이 경우 UEBA 메커니즘은 기본 수준의 활동 및 위협 모델을 사용할 뿐만 아니라 회사의 조직 구조에 대한 정보(예: 중요한 리소스 또는 역할, 직원의 액세스 수준)로 데이터를 포화시킵니다.

UEBA 솔루션 구현 문제

UEBA 솔루션의 시장 문제점은 높은 가격, 복잡한 구현, 유지 관리 및 사용입니다. 기업이 다양한 내부 포털 수로 인해 어려움을 겪고 있는 동안 또 다른 콘솔을 확보하고 있습니다. 새로운 도구에 투자하는 시간과 자원의 규모는 당면 과제와 이를 해결하는 데 필요한 분석 유형에 따라 달라지며, 대부분 대규모 투자가 필요한 경우가 많습니다.

많은 제조업체가 주장하는 것과는 달리 UEBA는 며칠 동안 계속해서 실행할 수 있는 "설정하고 잊어버리는" 도구가 아닙니다.
예를 들어 Gartner 고객은 UEBA 이니셔티브를 처음부터 시작하여 이 솔루션이 구현된 문제를 해결하는 첫 번째 결과를 얻는 데 3~6개월이 걸린다는 점을 지적합니다. 조직 내 내부자 위협 식별과 같은 보다 복잡한 작업의 경우 기간이 18개월로 늘어납니다.

UEBA 구현의 어려움과 도구의 향후 효율성에 영향을 미치는 요소:

• 조직 아키텍처, 네트워크 토폴로지, 데이터 관리 정책의 복잡성
• 적절한 세부 수준에서 올바른 데이터의 가용성
• 공급업체 분석 알고리즘의 복잡성(예: 통계 모델 및 머신 러닝 사용과 단순한 패턴 및 규칙 사용).
• 사전 구성된 분석의 양, 즉 각 작업에 대해 수집해야 하는 데이터와 분석을 수행하는 데 가장 중요한 변수 및 속성에 대한 제조업체의 이해가 포함됩니다.
• 제조업체가 필요한 데이터와 자동으로 통합하는 것이 얼마나 쉬운가요?

  예를 들면 다음과 같습니다

  • UEBA 솔루션이 SIEM 시스템을 데이터의 기본 소스로 사용하는 경우 SIEM은 필요한 데이터 소스에서 정보를 수집합니까?
  • 필요한 이벤트 로그와 조직 컨텍스트 데이터를 UEBA 솔루션으로 라우팅할 수 있습니까?
  • SIEM 시스템이 아직 UEBA 솔루션에 필요한 데이터 소스를 수집하고 제어하지 못한다면 이를 어떻게 SIEM 시스템으로 전송할 수 있습니까?

• 조직의 애플리케이션 시나리오가 얼마나 중요한지, 얼마나 많은 데이터 소스가 필요한지, 이 작업이 제조업체의 전문 분야와 얼마나 겹치는지.
• 어느 정도의 조직 성숙도와 참여가 요구됩니까? 예를 들어 규칙과 모델의 생성, 개발 및 개선이 필요합니다. 평가를 위해 변수에 가중치를 할당합니다. 또는 위험 평가 임계값을 조정합니다.
• 현재 조직 규모와 미래 요구 사항에 비해 공급업체의 솔루션과 아키텍처의 확장성은 얼마나 됩니까?
• 기본 모델, 프로필 및 주요 그룹을 구축할 시간입니다. 제조업체는 "정상적인" 개념을 정의하기 전에 분석을 수행하는 데 최소 30일(때로는 최대 90일)이 필요한 경우가 많습니다. 기록 데이터를 한 번 로드하면 모델 학습 속도를 높일 수 있습니다. 일부 흥미로운 사례는 엄청나게 적은 양의 초기 데이터로 기계 학습을 사용하는 것보다 규칙을 사용하여 더 빠르게 식별할 수 있습니다.
• 동적 그룹화 및 계정 프로파일링(서비스/사람)을 구축하는 데 필요한 노력 수준은 솔루션마다 크게 다를 수 있습니다.

출처 : habr.com