임계값·시간 윈도우 조정
인턴 기간에 SIEM 플랫폼으로 로그를 수집하고 알림 규칙을 튜닝하는 작업을 보조했습니다. 처음에는 알림이 너무 많아 의미 있는 이벤트를 구분하기 어려웠는데, 임계값과 시간 윈도우를 조정하는 과정에서 오탐률이 어떻게 달라지는지를 직접 보았습니다. 가장 기억에 남는 케이스는 새벽 시간대 SSH 로그인 시도가 급증하는 패턴인데, 지역 IP 범위와 계정 패턴을 필터로 추가해 실제 위협과 스캐닝 노이즈를 분리했습니다. 선택 근거는 주로 탐지율과 오탐률의 균형이었고, 과도하게 조여 정상 트래픽까지 차단하는 경우도 초기에 경험해서 조심하게 됐습니다.
탐지 룰 변경 후에는 일주일치 이력을 소급 적용해 의도한 대로 동작하는지 검증하는 단계를 거쳤습니다.