주목할 기능

사이버 범죄자의 단계별 행동 재추적

IBM® QRadar® Incident Forensics를 사용하여 보안 사고를 조사하고 이에 대응하는 데 소요되는 시간을 줄이세요. 이 오퍼링은 사용하기 편리하며 최소한의 훈련만 필요로 하기 때문에 IT 보안팀이 보안 사고를 빠르고 효율적으로 연구할 수 있습니다. 이 오퍼링의 데이터 수집 기능은 로그 이벤트와 네트워크 플로우를 뛰어넘어 완전한 패킷 확보와 디지털 방식으로 저장된 문서 및 요소까지 수집합니다. 또한 이 오퍼링으로 공격의 주체, 형태, 시기, 위치, 방식에 대한 컨텍스트와 가시성을 확보할 수 있습니다.

보안 사고와 관련된 데이터 및 증거 재구축

이 오퍼링에는 데이터 피벗팅이 포함되어 있으므로 사고와 관련된 네트워크 관계를 발견할 수 있습니다. 네트워크 및 파일 메타데이터와 웹 페이지 및 문서의 텍스트를 포함하는 패킷 확보 데이터(PCAP)의 페이로드 콘텐츠를 사용하여 인덱스를 작성하세요. 분석가들은 이 오퍼링을 사용하여 검색 결과에 특정 QRadar 공격과 관련된 패킷만 포함되도록 필터링할 수 있어 빠르고 쉽게 악성 트래픽을 찾을 수 있습니다. IBM X-Force®와 같은 인터넷 위협 인텔리전스 피드로 확인된 공격이 있는지 테스트할 수 있습니다.

IBM QRadar Security Intelligence Platform과 통합

마우스 오른쪽 클릭으로 통합할 수 있는 기능이 포함된 QRadar 단일 콘솔 사용자 인터페이스를 사용하여 패킷 확보 검색 요청을 입력하세요. 이 오퍼링에는 IP 또는 MAC 주소, 이메일, 채팅, 소셜 미디어 ID를 기반으로 하는 디지털 임프레션(Digital Impression) 또는 확장된 관계에 대한 심층 분석과 시각화를 수행할 수 있는 포인트 앤 클릭 툴이 포함되어 있습니다.

위협 방지 협업 및 관리 지원

IBM Security App Exchange에 대한 액세스를 허용할 수 있습니다.

적용 방법

  • 인시던트 포렌식의 스크린샷

    사이버 범죄자의 흔적을 추적

    문제점

    사건과 실제 관련 있는 의심스러운 활동을 구분합니다.

    솔루션

    사이버 범죄자의 행동을 파악하여 침입 영향에 대한 심도 깊은 통찰력을 제공하고 재발을 방지합니다.

  • IBM QRadar의 포스 감지 화면 캡처

    보안 공격 시 데이터 재구성

    문제점

    보안 사고의 전체 범위를 판단합니다.

    솔루션

    보안 사고의 증거가 될 만한 프로파일을 컴파일하여 해결책을 수립합니다. 보안 사고와 관련된 데이터를 재구성하여 단계별로 어떻게 공격이 이루어졌는지 상세하게 알아보세요. 인터넷 검색 엔진과 같은 인터페이스로 조회 프로세스를 간소화합니다.

  • 인시던트 포렌식 그래프의 스크린샷

    시간과 비용 절감

    문제점

    포렌식은 특수 툴과 전문적인 기술 수준이 필요한 수작업으로 진행되었습니다.

    솔루션

    IT 보안팀은 특별한 기술이나 훈련 없이도 빠르고 쉽게 포렌식을 수행하고 보안 위반의 세부사항에 대한 가시성을 확보할 수 있습니다.

  • 인시던트 개요의 스크린샷

    기존의 인프라 활용

    문제점

    공격의 연결 고리를 발견하기를 희망하며 별도의 시스템과 툴을 사용해야 합니다.

    솔루션

    원하면 기존 PCAP 인프라를 사용하거나 QRadar Incident Forensics 전용 시스템을 새로 구축합니다.

기술 요구사항

기술 스펙

OS: Red Hat Enterprise Linux(RHEL) Server 6. 전제조건: IBM Security QRadar SIEM 7.2.2 이상 수정팩.

소프트웨어 요구사항

하드웨어 호환성 정보는 IBM Security QRadar Incident Forensics 설치 안내서의 상세 시스템 요구사항을 참조하세요.

하드웨어 요구사항

IBM QRadar Incident Forensics는 하드웨어, 소프트웨어 또는 가상 어플라이언스로서 사용 가능합니다. 다음 하드웨어를 이용할 수 있는지 확인하세요.

  • 모니터와 키보드 또는 일련의 콘솔