주목할 기능

사용자 이상 행동 항목을 기반으로 내부자 위협 감지

사용자 행동 분석과 정교한 머신 러닝 알고리즘이 정상 활동 패턴에서 벗어나거나 동료와 다르게 행동하는 사용자를 감지합니다. QRadar UBA는 정상 활동의 기준을 작성하고 기준에서 크게 벗어나는 활동을 감지하여 악성 내부자와 사이버 범죄자에 의해 신임 정보가 도용된 사용자를 보여줍니다.

IBM QRadar와 완벽하게 통합

QRadar UBA는 기존 QRadar 사용자 인터페이스와 데이터베이스를 활용하여 QRadar Security Intelligence Platform에 직접 통합됩니다. 모든 전사적 보안 데이터는 하나의 중앙 위치에 남아 있을 수 있으며, 분석가는 신규 시스템 학습이나 신규 통합 구축을 거치지 않고도 규칙을 튜닝하고 보고서를 생성하며 상호 보완적인 IAM(Identity and Access Management) 솔루션과 통합할 수 있습니다.

개별 사용자의 세부 리스크 점수 생성

리스크 점수는 사용자 활동에 따라 동적으로 변경되며, 위험성 높은 사용자를 감시 목록에 추가할 수 있습니다. 보안 분석가가 손쉽게 드릴다운하여 개인의 리스크 점수에 기여한 행동, 공격, 로그 및 흐름 데이터를 확인할 수 있습니다. 이를 통해 내부자 위협과 관련된 조사 및 대응 시간을 단축합니다.

IBM Security App Exchange로 사용 가능

QRadar UBA는 플랫폼의 정규 릴리스 주기와 상관없이 다운로드할 수 있는 앱입니다. 모든 현재 QRadar 고객들은 QRadar 버전 7.2.8 이상에 이 앱을 추가함으로써 자체 네트워크 내의 활동에 대한 사용자 중심의 뷰를 이제부터 볼 수 있습니다.

IDC 랩 검증 개요: IBM QRadar with UBA

고객 사례

ATEA Sverige AB 사례 연구의 미리보기 이미지

IBM QRadar SIEM은 강화된 EU 보안 규정의 준수를 지원함

ATEA Sverige AB

적용 방법

  • 내부자 위협에 대한 가시성 확보

    문제점

    사이버 공격을 감지하고 보안 사고의 우선순위를 정하며 내부자 위협에 효과적으로 대처해야 합니다.

    솔루션

    비정상 행동을 발견하여 도용된 신임 정보를 사용하는 사이버 범죄자와 악의적인 내부자를 빠르고 효과적으로 파악합니다.

  • Watson Investigations 스크린샷

    QRadar 플랫폼 기능 확장

    문제점

    개별 사용자에 대해 악의적일 수 있는 행위의 모니터링은 수동으로 진행되며, 다수의 단절된 툴이 필요합니다.

    솔루션

    UBA 대시보드는 QRadar 콘솔의 일부이며, 고위험군 사용자를 보다 잘 식별할 수 있도록 기존 기능의 확장을 지원합니다. UBA 앱의 개별 사용자 세부사항 페이지에서 사용자의 이상 행동을 조사합니다.

  • 최근 공격을 표시하는 대시보드의 스크린샷

    기업에서 사용자 리스크 모니터

    문제점

    환경의 전체 상태와 사용자가 유발하는 리스크를 판단해야 합니다.

    솔루션

    머신 러닝을 적용하여 사용자의 리스크 점수를 생성하고, 위험성 높은 사용자를 파악하고, 가장 위험한 활동에 대해서만 경보를 발행하여 분석가의 업무 부담 없이 초기 위협 경고를 제공합니다.

기술 요구사항

소프트웨어 요구사항

최상의 경험을 얻으려면 QRadar 시스템을 QRadar 7.2.8 패치 13(또는 이상) 또는 QRadar 7.3.1 패치 6(또는 이상)으로 업그레이드하세요.

  • QRadar 버전 7.2.8 이상
  • Mozilla Firefox 45.2 Extended Support Release
  • Google Chrome(최신)

하드웨어 요구사항

  • UBA 앱에서는 메모리의 애플리케이션 풀에서 1.2GB의 여유 메모리가 필요합니다.
  • ML 모델에서 모니터링하는 사용자의 최대 수는 5GB당 40,000명이며, 총 사용자 수는 최대 16만명입니다.

관심을 가질만한 내용

IBM QRadar SIEM

IBM QRadar SIEM은 네트워크 전체에 분산되어 있는 수천 개에 달하는 디바이스, 엔드포인트 및 애플리케이션의 로그 이벤트와 네트워크 플로우 데이터를 통합합니다.

IBM QRadar Advisor with Watson

AI를 적용하여 IOC를 조사하고 위협에 상황을 부여합니다.

IBM QRadar Network Insights

네트워크 위협을 실시간으로 검사하여 숨겨진 위협을 찾아냅니다.

IBM QRadar on Cloud

IBM Cloud에서 호스팅되는 SaaS 버전의 QRadar SIEM을 제공합니다.