M1 MacBook Pro 기반 Ollama 및 Python Harness를 통한 Local AI SOC 분석 체계 구축

Context

Datadog, Sysdig, PagerDuty로 구성된 클라우드 네이티브 모니터링 스택 기반의 강력한 Telemetry 환경 보유. 다만 개별 도구 간의 수동 이동으로 인한 분석가 워크플로우의 병목과 반복적인 Alert triage의 비효율성 발생.

Technical Solution

• Local AI를 Detector가 아닌 Triage 및 Analysis Layer로 배치하여 Datadog/Sysdig의 기존 탐지 기능과 제어 경계 분리
• M1 MacBook Pro의 하드웨어 제약을 고려하여 llama3.2:3b(기본) 및 qwen3:8b(심층 분석) 모델을 선택적으로 운용하는 Ollama 기반 런타임 구성
• Prompt 크기에 따른 성능 저하 및 Timeout 방지를 위해 'Query -> Reduce -> Summarize -> Report' 단계의 데이터 처리 파이프라인 설계
• Python SOC Harness를 도입하여 Prompt Guardrail, 컨텍스트 제어, 출력 구조화를 통한 분석 재현성 확보
• 보안 사고 방지를 위해 AI의 권한을 Read-only로 제한하고 Containment 등의 생산 변경 사항은 Human-approved 방식의 승인 절차 적용