QRadar Advisor with Watson 2.0: AI 기반 보안 플랫폼의 차세대 진화

주요 기능

MITRE ATT&CK 체인에 공격 맞추기

공격 진행 상황별 신뢰도 수준을 사용하여 분석가가 위협을 검증하고, 공격이 발생하고 진행되는 양상을 시각화하며, 앞으로 발생 가능성이 있는 전술을 찾아낼 수 있습니다.

확실한 에스컬레이션 과정을 위한 분석가 학습 루프

QRadar Advisor가 로컬 환경을 분석하여 분석가가 더 빠르고 확실하게 에스컬레이션을 진행할 수 있도록 에스컬레이션해야 하는 신규 조사를 추천합니다.

외부 위협 정보 피드를 사용하여 향상된 Watson 피드백

코그너티브 추론을 적용하여 발생 가능성 높은 위협을 찾고 악성 파일, 의심 IP 주소, 불량 개체 등 최초 인시던트와 관련된 위협 개체를 상호 연결하여 위협 개체 간의 관계를 파악합니다. Watson for Cyber Security를 이용하여 위협 정보 피드, 웹 사이트, 포럼 등 외부 비정형 데이터를 자동으로 적용합니다.

교차 조사 분석 수행

QRadar Advisor는 연결된 인시던트를 통해 자동으로 조사를 상호 연결하여 중복되는 작업을 줄이고 현재 가능성 있는 인시던트와 경보에 국한되지 않고 조사 범위를 다각적으로 확대합니다.

리스크 수준별 우선순위에 따른 조사 목록

리스크가 가장 큰 조사를 확인하고 여러 개의 조사를 동시에 실행하며 데이터를 정렬 및 필터링하여 집중해야 하는 영역을 빠르게 파악합니다.

능동적 환경 조정으로 보안 강화

동일한 이벤트로 여러 조사가 중복 진행되는 경우 환경을 추가로 조정해야 하는지 판단합니다.

고객 사례

Smarttech 사례 연구의 화면 캡처

Watson for Cyber Security를 설명하는 Ronan Murphy(Smarttech CEO)

Smarttech

IBM QRadar Advisor with Watson 관련 Cargills Bank 사례 연구의 스크린샷

Cargills Bank - 코그너티브 보안의 사용을 선도

적용 방법

  • 빠른 인사이트 수집

    빠른 인사이트 수집

    문제점

    분석가의 시간 확보를 위해 분석 속도를 높여야 합니다.

    솔루션

    도용과 의심스런 행동의 징후를 자동으로 조사합니다. 수많은 외부 소스와 로컬 데이터를 상호 연관시켜 신속하게 인사이트를 수집하고 분석가는 대응 주기 중 더 복잡한 사안에 집중할 수 있습니다.

  • 코그너티브 추론

    문제점

    위협의 범위와 심각도를 시각화해야 합니다.

    솔루션

    코그너티브 추론을 적용하여 발견한 위협 개체 간의 관계를 인식하고 우선순위가 더 높은 리스크를 파악합니다.

  • 지금은 물론 미래에도 빠른 대응

    지금은 물론 미래에도 빠른 대응

    문제점

    거짓양성, 거짓음성 등 오탐지나 자동화 부족으로 인시던트를 놓칠 수 있습니다.

    솔루션

    실행 가능한 정보를 사용하여 개선책을 결정합니다. 발견한 위협 징후를 감시 목록에 자동으로 추가하여 향후 인시던트를 놓치는 일이 없도록 합니다.

  • 참양성에 집중

    문제점

    활성화된 위협이 얼마나 만연해 있는지와 이들의 관련성을 판별해야 합니다.

    솔루션

    위협과 관련된 플로우 통신이나 관련 네트워크 이벤트가 완료되었는지 또는 트래픽이 기존의 보안 네트워크에 의해 차단되었는지 여부를 손쉽게 파악합니다. 실제 위협에 노력을 집중합니다.

기술 요구사항

소프트웨어 요구사항

QRadar Advisor with Watson을 설치하여 실행하려면 자체 환경에서 다음을 설정해야 합니다.

  • IBM QRadar 버전 7.2.8 이상
  • 로컬 및 원격 보안 모니터링
  • QRadar Console 인터넷 액세스 필요

하드웨어 요구사항

IBM QRadar with Watson의 하드웨어 요구사항은 없습니다.

관심을 가질만한 내용

IBM QRadar SIEM

문맥상의 인사이트를 사용하여 위협으로부터 자산과 정보를 보호합니다.

IBM QRadar on Cloud

IBM Cloud에서 호스팅되는 SaaS 버전의 QRadar SIEM을 제공합니다.

IBM QRadar User Behavior Analytics

사용자 활동을 분석하여 내부자 위협을 감지합니다.

IBM Security SOAR

IBM Resilient SOAR(Security Orchestration, Automation and Response) Platform은 인시던트 응답 프로세스를 조정하고 자동화하기 위한 최신형 플랫폼입니다. IBM Resilient SOAR Platform은 기업이 이전에 투자했던 보안 및 IT와 빠르고 손쉽게 통합됩니다. 보안 경고에 따라 즉시 조치를 실행할 수 있고, 중요한 인텔리전스 및 인시던트 컨텍스트를 제공하며, 복잡한 사이버 위협에 유연하게 대처하는 적응형 대응을 지원합니다. IBM Resilient SOAR Platform에 대한 최신의 혁신적 기술인 Dynamic Playbooks는 복합 공격에 대처하는 데 필요한 민첩성, 인텔리전스 및 정교함을 제공합니다.