IBM QRadar SIEM의 실시간에 가까운 위협 탐지 기능을 통해 사이버 공격을 신속하게 탐지
오늘날과 같이 고도로 연결된 세상에서 사이버 범죄자들은 점점 더 민첩하고 빠르게 행동하고 있습니다. 이는 보안 팀도 마찬가지입니다. IBM QRadar SIEM은 실시간에 가까운 자동화된 위협 탐지를 통해 팀이 시급한 대응 과제를 해결할 수 있도록 지원합니다.
QRadar SIEM은 수천 개의 미리 구축된 사용 사례, 사용자 행동 분석, 네트워크 행동 분석, 애플리케이션 취약성 데이터, X-Force Threat Intelligence의 활용을 통해 수백만 개의 이벤트를 거의 실시간으로 분석하여 신뢰도 높은 경고를 제공합니다.
공격자가 그 어느 때보다도 빠르게 진화하는 지금, 조직은 자동화된 위협 탐지를 사용해야만 앞서나갈 수 있습니다.
IBM은 2019년부터 2021년까지 랜섬웨어 공격이 배포되는 데 걸리는 평균 시간이 94% 감소한 것으로 측정했습니다.¹
피싱 키트의 수명은 2019년부터 2021년까지 매년 2배 이상 증가했습니다.²
침해 사고를 200일 이내에 차단하면 평균 110만 달러(USD)의 비용을 절감할 수 있습니다.³
QRadar SIEM은 로그 이벤트와 네트워크 활동을 모두 분석할 수 있도록 특별히 구축되었습니다. 이러한 고유한 기능으로 데이터 엔드포인트, 온프레미스, 클라우드 및 네트워크 장치에 걸친 데이터를 포함한 보안 환경 전체를 포괄적으로 감시할 수 있도록 지원합니다. 이를 통해 숨겨진 악성 활동이 존재하는 사각지대를 최소화할 수 있습니다.
QRadar SIEM은 추가 기능을 제공하는 370개의 애플리케이션과 무려 450개의 데이터 소스 커넥터를 네트워크 흐름과 함께 활용하여 고객의 위협 탐지 기능을 확장하고, 이를 통해 가시성이 낮은 다른 솔루션에서는 놓치기 쉬운 공격 경로를 모두 모니터링합니다.
로그 이벤트와 네트워크 활동을 과거 데이터와 비교 분석하여 알려진 위협과 미지의 위협을 모두 발견합니다. X-Force Threat Intelligence는 고객의 환경을 외부 컨텍스트에서 분석하여 알려진 멀웨어, IP 및 URL에서 기인하는 위협을 파악할 수 있게 하며, User Behavior Analytics와 Network Threat Analytics는 다양한 머신 러닝 모델을 활용하여 비정상 패턴을 탐지합니다. MITRE ATT&CK 전술에 기반한 수천 개의 사용 사례를 즉시 사용할 수 있습니다. 이러한 사용 사례는 최신 공격자 패턴 탐지를 돕기 위해 X-Force App Exchange에도 등록되어 있습니다.
위협 행위자가 여러 건의 탐지 분석을 트리거하거나, 여러 네트워크를 이동하거나 행동을 바꾸면 QRadar SIEM은 이들이 사용하는 모든 전술과 기법을 추적합니다. 더 나아가 QRadar SIEM은 킬 체인 전체에서 관련 활동을 상호 연관, 추적 및 식별하여 데이터를 하나의 알림으로 통합합니다.
알림의 심각도는 각기 다르므로, QRadar SIEM은 규모 점수에 기반하여 우선순위를 지정하는 독보적인 기능을 통해 보안 분석가가 가장 중요하거나 심각한 이벤트에 먼저 초점을 맞출 수 있도록 합니다.
규모 점수는 다음 3가지 요인에 따라 산정됩니다.
- 관련성: 네트워크에 얼마나 큰 영향을 끼치는가? (규모 점수의 50%)
- 심각도: 발생하는 경우 어느 수준의 위협이 초래되는가? (규모 점수의 30%)
- 신뢰성: 관련된 데이터 소스를 얼마나 온전하게 신뢰하는가? (규모 점수의 20%)
규모 점수 산정에는 복잡한 알고리즘이 사용됩니다. 이벤트 횟수, 소스 수, 수명, 알려진 취약점, 데이터 소스의 위험과 같은 요인이 환경에서 발생한 이벤트 평가에 고려됩니다.
공격은 다양한 형태와 규모로 발생합니다. PowerShell이나 수평 이동을 탐지할 수 있는 사용 사례를 보유하고 있나요?
QRadar SIEM Use Case Manager는 활동과 규칙을 MITRE ATT&CK 전술과 기법에 따라 정렬하여 고객이 공격 단계별로 얼마나 심층적인 커버리지를 갖추었는지를 시각적으로 보여줍니다.
IBM App Exchange에서 무료로 사용 사례별 콘텐츠 팩을 다운로드하거나 Use Case Manager를 사용하여 직접 사용 사례를 구축하세요.
User Behavior Analytics는 머신 러닝을 사용하여 개인과 학습된 동료 그룹과의 비교를 통해 정상적인 사용자 행동을 파악한 다음, 자격 증명 유출이나 무단 권한 에스컬레이션과 같은 이상 징후를 표시하고 사용자의 위험 점수를 산정합니다. UBA는 다음 3가지 유형의 트래픽을 사용하여 보다 풍부한 정보에 기반한 위험 점수 산정을 지원합니다.
- 액세스, 인증 및 계정 변경 관련 트래픽
- 프록시, 방화벽, IP, VPN을 포함한 네트워크에서의 사용자 행동
- Windows 또는 Linux 및 SaaS 애플리케이션과 같은 출처의 엔드포인트 및 애플리케이션 로그
Network Threat Analytics(NTA)은 머신 러닝 모델링을 사용하여 시스템의 흐름 기록을 분석하고 이를 통해 정상 트래픽 패턴을 파악한 다음 모든 유입 흐름을 최신 기준 모델과 비교합니다. 각 흐름에는 흐름 속성 값 및 해당 통신 유형이 관찰되는 빈도에 기반하여 이상치 점수가 부여됩니다. 분석가는 NTA를 사용하여 수상한 행동을 나타내는 흐름을 빠르게 식별하고 조사 우선순위를 정할 수 있습니다.
QRadar Network Insights(QNI)는 네트워크 메타데이터와 흐름 내 애플리케이션 콘텐츠를 더욱 심층적으로 분석합니다. 기본 수준에는 추가 속성이 18개 추가되었으며, 고급 수준에서는 파일 내 악성 스크립트나 PI의 네트워크 전송과 같은 세부 사항을 포착할 수 있습니다. 심층 패킷 조사, 7계층 콘텐츠 분석 및 파일 분석을 통해 QRadar SIEM이 자칫 지나칠 수 있는 위협 활동을 탐지할 수 있도록 지원합니다.
QRadar SIEM을 사용하여 중앙에서 종료점까지 위협을 감지하면 다양한 방법으로 조직을 보호할 수 있습니다.
IBM Security 사이버 위협 헌팅 솔루션을 보안 전략에 통합하여 위협에 보다 신속하게 응답하고 완화하세요.
QRadar SIEM에 준수 팩을 통합하여 준수를 보장하고 보고를 자동화하세요.
QRadar SIEM으로 랜섬웨어 위협을 신속하게 탐지할 수 있습니다. 이를 통해 정보에 입각한 즉각적인 조치를 취하여 공격으로 인한 피해를 최소화하거나 예방할 수 있습니다.