개요

IBM Security QRadar 추가 기능은 IT 보안에 더 많은 인사이트와 사전 예방 기능을 제공하여 SIEM(보안 정보 및 이벤트 관리) 솔루션의 기능을 한층 강화합니다.

IBM QRadar 사용자 행동 분석

IBM QRadar Advisor with Watson

IBM QRadar 인시던트 포렌식

IBM QRadar 데이터 스토어

IBM QRadar 데이터 동기화 앱

고객 사례

자주 묻는 질문

저장용 데이터와 분석용 데이터를 분리시키기 위해 데이터 스토어를 어떻게 구성해야 하나요?

데이터 스토어는 QRadar의 단순 컬렉션 필터를 통해 구성됩니다. 데이터 소스 또는 데이터 소스로부터 이벤트 기준을 선택하여 데이터 스토어로 직접 보낼 데이터를 간단하게 정의할 수 있습니다. 이 필터는 필요 시 변경 가능하며 즉시 생산에 투입할 수 있습니다.

앱 익스체인지에서 설치한 앱은 데이터 스토어의 데이터를 사용하나요?

일부는 그렇습니다. 데이터 스토어의 데이터는 분석 또는 상관 관계 분석을 거치지 않으므로 분석 기반 앱은 데이터 스토어를 통해 수집한 데이터를 모두 사용하는 것이 불가할 수 있습니다. 리포팅, 파싱, 사용자 지정 속성, 대시보드와 같은 여타 모든 기능은 기대한대로 작동되어야 합니다.

데이터 스토어를 사용하기 위해서는 어떤 버전의 QRadar가 필요하나요?

QRadar 7.3.1 이상의 버전을 사용해야 합니다.

데이터 스토어 기능을 지원하는 어플라이언스 유형에는 무엇이 있나요?

데이터 스토어는 이벤트 프로세서 및 데이터 노드에서 기존 스토리지 및 처리 용량을 사용하여 데이터 스토어용으로 식별된 데이터를 수집, 처리, 저장하는 QRadar 라이선싱 오버레이입니다. 신규 어플라이언스는 불필요 하지만 데이터 스토리지의 요건을 지원하기 위해 추가 데이터 노드를 구입해야 할 수 있습니다.

QRadar의 어떤 기능이 데이터 저장소에서 수집된 데이터와 함께 작동하나요?

데이터 스토어는 주로 로그 관리에 사용되기 때문에 해당 데이터는 상관 관계 및 고급 보안 분석 기능에서 제외됩니다. 하지만 데이터 스토어의 데이터는 검색, 리포팅, 시각화와 같은 대부분의 여타기능과 QRadar 앱 프레임워크로 구축된 사용자 정의 애플리케이션에서 사용 가능합니다.

데이터 스토어를 사용하여 수집한 데이터를 변환하여 추후 보안 사용 사례에 사용할 수 있나요?

데이터 스토어의 데이터는 히스토리컬 상관 관계에 사용이 불가합니다. 하지만 데이터 스토어의 데이터와 SIEM 데이터를 구분하는 필터링 정책은 손쉽게 변경할 수 있습니다. 정책이 업데이트되는 대로 수집된 모든 데이터는 QRadar 내의 모든 분석 및 상관 관계 프로세스에 포함됩니다.

UBA(사용자 행동 분석)를 설치와 관련한 전제 조건이 있나요?

예. QRadar 콘솔을 통해 실행하고 있는 경우 UBA 앱에는 최소 64GB 또는 최대 128GB의 메모리가 필요합니다. 또한 머신 러닝 앱이 활성화된 상태에서 UBA 앱 실행 시 활용 가능한 모든 혜택을 이용하려면 앱 호스트 배포를 고려하세요.

조직 데이터를 UBA로 가져오기 위해서는 어떻게 해야 하나요?

UBA는 기존 QRadar 사용자 인터페이스 및 데이터베이스를 사용하여 QRadar 보안 분석 솔루션에 직접적으로 통합할 수 있습니다. 전사적인 보안 데이터는 하나의 중앙 지점에서 유지할 수 있고 분석가들은 새로운 시스템에 대한 지식 없이도 규칙을 조절하고 보고서를 생성하고 데이터를 연결할 수 있습니다.

UBA는 다른 툴과 통합되나요?

UBA는 QRadar와 동일한 기본 데이터베이스를 공유하기 때문에 QRadar를 통해 수집된 모든 데이터 소스를 UBA에 표시하고 활용할 수 있습니다.

UBA 아키텍처란 무엇인가요?

UBA는 3개의 앱, 즉 사용자 ID 정보의 수집과 통합하는 데 도움되는 1개의 LDAP 앱, 데이터·분석의 시각화를 지원하는 1개의 UBA 앱, 행동 모델 생성에 사용되는 머신 러닝 알고리즘 라이브러리를 제공하는 1개의 머신 러닝 앱의 모음으로 구성됩니다.

이상 현상 감지란 무엇인가요?

이상 현상 감지는 동작이 예측을 따르지 않고 대부분의 데이터와 크게 다른 비정상적인 패턴을 식별하는 데 사용되는 기술입니다.

위험 점수는 무엇인가요?

위험 점수는 사용자 활동에 있어서 잠재적인 유해성을 수치로 측정한 것입니다. UBA로 감지한 각각의 비정상적인 행동은 개별 사용자의 위험 점수에 영향을 줍니다.

머신 러닝 모델을 학습하려면 시간이 얼마나 걸리나요?

머신 러닝 알고리즘은 공유 QRadar 데이터베이스를 통해 지난 4주 동안의 데이터를 수집한 후 정상적으로 동작하는 모델 구축에 보통 3~24시간이 소요됩니다.

UBA를 클라우드 QRadar에 배치하는 것이 가능한가요?

UBA 앱은 온프레미스 QRadar, 클라우드 QRadar, IaaS 또는 하이브리드에 모두 배포할 수 있습니다.

UBA 앱은 비용이 어떻게 되나요?

UBA 앱은 추가 비용 없이 QRadar 클라이언트에게 제공됩니다.

UBA와 관련한 도움은 어디에서 받을 수 있나요?

IBM 지원 센터에는 일순위 문제 해결을 지원하는 전담 인력이 있습니다. UBA 앱에는 LDAP, UBA, 머신 러닝 분석 앱 사용과 관련한 도움말과 지원 섹션이 포함되어 있습니다.

IBM은 UBA에서 어떤 방식으로 사용자 정보를 보호하나요?

모든 QRadar 애플리케이션 및 모듈과 마찬가지로, 데이터는 저장 시 암호화 처리됩니다.