시작하기
IBM® Security QRadar SOAR을 처음 사용하는 경우 시작하기 안내서 에서는 기능에 대한 상위 레벨 개요를 제공하고, 사용자 또는 역할의 유형을 설명하며, 각 역할에 대한 관련 문서 및 IBM 커뮤니티를 나열합니다.
IBM Security QRadar SOAR 은 Case Management 및 Orchestration & Automation 애플리케이션으로 구성됩니다. IBM Security QRadar SOAR 은 인시던트 응답과 연관된 사용자, 프로세스 및 기술을 조정하고 자동화합니다. 이러한 IBM Security QRadar SOAR 솔루션은 인시던트 및 개인정보 보호 응답 관리를 간소화하여 조직이 이벤트 및 인시던트에 대응할 수 있는 빠르고 유연한 자동 방법을 제공합니다. 비즈니스 요구사항에 따라 클라우드 또는 온프레미스 환경에서 사용할 수 있습니다.
IBM Security QRadar SOAR 을 사용자 환경에 통합하여 다른 도구와 자동으로 데이터를 공유할 수 있습니다. 멀웨어 인시던트가 기록될 때 영향을 받는 시스템 검색과 같이 다른 도구에서 실행되는 조치를 자동화할 수도 있습니다.
조직은 다음 기본 유스 케이스를 충족하도록 IBM Security QRadar SOAR 을 사용자 정의할 수 있습니다.
- 모니터링 및 에스컬레이션. IBM Security QRadar SOAR 을 사용하면 IBM Security QRadar SOAR과 통합된 시스템 또는 사용자가 관련 데이터를 포함한 인시던트를 입력할 수 있습니다. 그런 다음 인시던트의 시작부터 해결까지 상태를 모니터할 수 있습니다. 데이터에는 IP 주소, 파일 해시, URL, 사용자 이름 및 시스템 이름과 같은 아티팩트가 포함될 수 있습니다. 모든 데이터가 하나의 인시던트와 연관됩니다.
- 식별 및 강화. 자동 위협 인텔리전스 조회, 워크플로우 및 메뉴 기반 조치는 가치 있는 컨텍스트를 제공하고 범위와 영향을 식별하는 시간을 단축하며 신속하고 결정적인 대응을 가능하게 합니다. 샌드박스 평가를 트리거하고 결과에 작동할 규칙을 빌드합니다. 로그와 엔드포인트를 검색하고 데이터를 기반으로 의사결정합니다. CMDB 및 디렉토리 정보를 포함하여 분석가가 심각도 및 영향을 정확하게 평가하도록 도와줍니다. 이러한 중요한 데이터 요소를 중심으로 팀이 대응하는 방식을 동적으로 조정할 수 있습니다. 여러 사이버 위협 소스가 제품에 통합되어 있으며 자체 위협 서비스를 통합할 수 있습니다.
- 격리, 대응 및 복구. 트리거 조건을 기반으로 하거나 수동 조치를 기반으로 시스템이 알림을 발송하거나 보안 자세를 응답 플레이북의 일부로 포함하고 조정하는 외부 활동을 시작할 수 있습니다.
- 통신 및 조정. 티켓팅 및 서비스 관리, 스마트 알림, 통신 플랫폼 및 기타 비즈니스 애플리케이션을 포함하여 사용자 환경과 양방향으로 통합하기 위한 사용자 정의 조치, 기능 및 REST API의 사용이 포함됩니다. SOC 이상으로 통합함으로써 사용자는 빠르고 효과적인 인시던트 해결을 조정할 수 있습니다.