아티팩트·수동 분석·타임라인 가이드
아티팩트·수동 분석·타임라인 가이드#
AI 분석은 빠른 출발점이고, 아티팩트 뷰어와 수동 분석, 타임라인은 결론을 검증하는 조사 도구입니다. 세 화면을 함께 사용하면 사용자는 AI 답변의 근거를 직접 확인하고 사건 흐름을 재구성할 수 있습니다.
화면별 역할#
| 기능 | 역할 | 확인 항목 |
|---|---|---|
| 아티팩트 뷰어 | 파싱된 증거를 유형별로 열람 | 원본 경로, 시간, 사용자, 해시, 메타데이터 |
| 수동 분석 | 필터와 검색으로 증거를 직접 검토 | 특정 시간대, 특정 파일, 특정 아티팩트 유형 |
| 타임라인 분석 | 이벤트를 시간순으로 연결 | 실행, 접근, 연결, 삭제, 업로드의 전후 관계 |
| AI 분석 | 증거를 검색하고 자연어 답변 생성 | 요약, 상관관계, 후속 조사 방향 |
권장 조사 흐름#
- AI 분석에서 포괄 질문으로 핵심 의심 지점을 찾습니다.
- 답변의 증거 인용을 열어 아티팩트 뷰어에서 원본 맥락을 확인합니다.
- 수동 분석에서 같은 사용자·파일·시간대의 주변 증거를 검색합니다.
- 타임라인 분석에서 이벤트 전후 순서를 재구성합니다.
- 확인된 증거만 리포트에 포함하고, 추정은 별도 표시합니다.
타임라인에서 볼 포인트#
- 이벤트가 업무 시간 밖에 집중되는지
- USB 연결 직후 파일 접근이나 압축이 이어지는지
- 새 계정 생성 이후 권한 상승이나 원격 접속이 있는지
- 의심 파일 실행 이후 자동실행 등록이나 외부 통신이 있는지
- 삭제 이벤트 뒤에 로그 공백이나 흔적 제거 정황이 있는지
수동 분석 필터 예시#
| 조사 목적 | 필터 기준 |
|---|---|
| USB 유출 | USB, Shellbags, RecentDocs, LNK, 파일 접근 시간 |
| 악성코드 실행 | Prefetch, AmCache, Shimcache, EventLog, 자동실행 항목 |
| 계정 침해 | 로그인 이벤트, 계정 생성·변경, 원격 접속, 권한 변경 |
| 클라우드 유출 | 브라우저 기록, 다운로드, 캐시, 동기화 로그, 압축 파일 |
| AI 사용 흔적 | 브라우저 AI 서비스, 코딩 도구, 프로젝트 변경, 다운로드 파일 |
실무 팁#
- 타임라인은 결론보다 순서 확인에 강합니다.
- 수동 분석은 AI가 놓친 명확한 키워드나 파일명을 재확인할 때 유용합니다.
- 아티팩트 뷰어에서 원본 경로와 시간대가 맞지 않으면 결론을 낮은 신뢰도로 분류하세요.
- 여러 아티팩트가 같은 시간대와 같은 행위를 가리킬 때 신뢰도가 높아집니다.
다음 단계#
서비스에서 바로 이어서 확인하세요
문서에서 본 흐름을 샘플 분석 또는 실제 업로드 화면에서 이어갈 수 있습니다. 실제 증거는 적법한 권한이 있을 때만 업로드하세요.