EDR 알람이 시끄러울 때의 우선순위 프레임

알람이 많다는 것은 탐지가 잘못됐다는 뜻이 아니라, 맥락 정보가 부족하다는 신호인 경우가 많습니다. 3축 프레임은 “누가(권한)·어디(자산)·무엇을(데이터)”에 가중치를 둡니다. 실습에서는 동일한 알람 세트에 대해 팀이 각자 점수를 매기고, 차이가 큰 케이스를 토론합니다. 토론에서 가장 큰 갭은 보통 “이 계정이 평소에도 그 경로로 접근하느냐”에 대한 히스토리 없음이었습니다. 따라서 기록이 없을 때는 기본 점수를 올리지 말고 데이터 요청에 시간을 쓰는 쪽이 안전합니다. 이 프레임은 자동화를 대체하지 않고, 대기줄이 길어졌을 때 팀이 같은 언어로 이야기하게 돕는 도구로 쓰길 권합니다.