IBM QRadar SOAR(보안 오케스트레이션, 자동화 및 대응)는 보안 운영 팀의 인시던트 대응 프로세스를 개선하고 속도를 더하기 위해 구축되었습니다. QRadar SOAR는 자동화 및 인텔리전스를 사용하여 잠재적인 보안 인시던트에 분석가가 신속하고 단호하게 조처할 수 있도록 지원합니다. 수상 경력에 빛나는 플레이북 디자이너, 300개 이상의 통합 기능, 강력한 침해 대응 모듈을 갖춘 QRadar SOAR는 보안 팀을 확장하고 최적화할 수 있도록 설계되었습니다.
사례 관리
QRadar SOAR의 정교한 사례 관리 기능은 분석가에게 인시던트 컨텍스트에 대해 더 많은 정보가 담긴 접근 가능한 보기를 제공하여 조사 프로세스를 개선하고 더 빠르게 진행할 수 있도록 지원합니다. 또한 대시보드 시각화 및 사례 보고를 통해 주요 메트릭과 결과를 요약하고 팀 간에 공유할 수 있어 조직 전체에 가시성을 제공할 수 있습니다.
- QRadar SOAR는 분석가들이 아티팩트 시각화를 통해 사건을 더 깊이 조사할 수 있는 기능을 제공합니다. 각 사건 내의 '증거' 탭은 각 인시던트에 연결된 관련 결과와 아티팩트를 제공하여 추가적인 컨텍스르를 중앙 집중식으로 파악할 수 있습니다. 분석가는 추가 발견 사항과 생각을 첨부 파일 및 메모 섹션에 기록할 수도 있습니다.
- QRadar SOAR 분석 대시보드에는 액세스 및 권한 수준에 따라 통계 정보를 볼 수 있는 다양한 차트와 그래프가 표시됩니다. 사용자는 피벗 테이블 및 차트와 같이 미리 정의된 위젯을 선택하여 대시보드 보기를 사용자 지정할 수 있으므로 소유자별, 유형별, 기간별, 심각도별로 MTTD, MTTR, 미해결/종결 사례 등을 더 잘 파악할 수 있습니다.
QRadar SOAR 내에서 단일 인시던트 또는 여러 인시던트에 대해 보고서를 직접 생성할 수 있으므로 팀 및 경영진과 쉽게 정보를 공유하여 인시던트 대응 프로세스 전반의 가시성과 명확성을 개선할 수 있습니다.
플레이북 및 자동화
Red Dot Design Award를 수상한 QRadar SOAR의 플레이북 디자이너는 보안 팀이 인시던트에 더 신속하게 대응할 수 있도록 설계된 강력한 도구입니다. 동적 로우코드 기능을 사용하면 코드를 작성하지 않고도 몇 분 만에 완전 자동화된 플레이북을 설계할 수 있습니다.
플레이북 디자이너는 자동화 엔지니어가 수동 및 자동 응답을 생성하고 사용자 지정할 수 있도록 특수 제작된 직관적인 그래픽 사용자 인터페이스입니다. 플레이북 디자이너는 즉시 사용 가능한 사전 구축된 작업, 스크립트, 함수, 하위 플레이북 및 조건 포인트의 라이브러리를 갖추고 있습니다. 사용자 환경은 캔버스에 노드를 추가하는 클릭 앤 드래그 기능과 이러한 노드를 다양한 방식으로 연결하여 원하는 로직으로 프로세스를 실행할 수 있는 기능을 제공합니다.
QRadar SOAR의 v49.0으로 출시된 Data Navigator는 플레이북 디자이너에서 사용할 수 있는 로우코드 기능 구성 프레임워크입니다. Data Navigator를 사용하면 코드를 작성할 필요 없이 몇 초 만에 클릭 몇 번 만으로 함수 입력을 구성할 수 있습니다. 이전 버전의 QRadar SOAR에서는 함수 및 하위 플레이북에 대한 입력을 정의하려면 Python 및 스크립팅 지식이 필요했습니다. Data Navigator를 사용하면 플레이북 디자이너는 직관적인 플레이북 스키마 메뉴에서 동적 및 하위 플레이북 입력을 제공합니다. 스크립트 구성에 Python을 선호하는 사용자를 위해 필드 탭과 스크립트 탭 환경에서 Data Navigator를 계속 노출합니다.
QRadar SOAR에서 v51.0.1.0으로 출시된 플레이북 Go-Back은 플레이북 디자이너와 자동화 엔지니어가 플레이북에서 유연하고 논리적인 흐름을 설계하여 정의된 조건에 따라 프로세스를 다른 노드로 점프할 수 있도록 지원하는 루핑 기능의 개선 사항입니다. 그러면 흐름에서는 기능 및 작업을 다시 실행하는 동시에 수행된 작업을 직관적으로 보여주고 감사 추적에서 관련 정보를 추적할 수 있습니다.
QRadar SOAR v49.0에서 출시된 플레이북 진행 상황 시각화는 플레이북의 진행 상황을 볼 수 있는 새로운 방법을 제공합니다. 보안 분석가는 실행 중인 플레이북 인스턴스의 진행 상황을 더 쉽게 모니터링할 수 있고, SOC 엔지니어가 플레이북을 설계한 대로 플레이북이 진행되는 동안 각 노드의 상태를 확인할 수 있습니다. 이를 통해 분석가는 사례를 진행하거나 자동화를 디버깅하기 위해 개입이 필요한 부분에 대해 더 빠르고 신뢰할 만한 결정을 내릴 수 있습니다.
QRadar SOAR v51.0에서 출시된 플레이북 인스턴스는 플레이북 개발자가 QRadar SOAR 인스턴스 내에서 실행 중인 모든 플레이북을 전체적으로 볼 수 있도록 플레이북 대시보드에 새로운 탭을 갖추고 있습니다. 플레이북 개발자는 플레이북 상태, 활성화 유형 또는 개체 유형뿐만 아니라 보다 세분화된 시간 및 날짜 필터를 통해 사례 수준 또는 소스 플레이북으로 문제를 해결하기 위해 개입해야 할 위치를 빠르고 안정적으로 결정할 수 있습니다.
- QRadar SOAR v51.0.0.1에서 릴리스된 네이티브 JSON 지원은 이제 사례에서 네이티브 JSON 데이터를 지원합니다. 이제 JSON을 번거롭고 거의 사용할 수 없는 문자열로 저장할 필요가 없습니다. JSON 입력 데이터를 사용해 데이터 테이블, 인시던트 필드, 플레이북 입력 등을 채울 수 있습니다. 또한 SOAR를 사용하면 명확한 들여쓰기, 색상 코딩 및 축소 기능으로 데이터를 자동으로 포맷하여 JSON 정보를 더 쉽게 소비할 수 있습니다.
통합 및 SOAR 앱
QRadar SOAR는 300개 이상의 통합 기능을 제공하여 인시던트 대응 오케스트레이션 및 자동화 프로세스를 간소화할 수 있도록 지원합니다.
IBM App Exchange는 IBM, 타사 공급업체 및 광범위한 보안 커뮤니티에서 개발한 통합 검색, 공유 및 다운로드 기능을 원스톱으로 제공합니다. 이러한 통합은 IBM Security 솔루션의 기능을 향상하고 확장하기 위해 설계되었습니다. 'QRadar SOAR' 탭에서 필터링 기능을 활용해 사용 가능한 300개 이상의 QRadar SOAR 통합 기능을 검색할 수 있습니다.
QRadar SOAR 즉시 사용할 수 있는 응답 콘텐츠에 지속적으로 중점을 두고 있습니다. 사전 구축된 플레이북 콘텐츠는 자동화 개발을 가속화하고 설계 시간을 줄이는 데 도움이 됩니다. 이를 지원하기 위해 IBM App Exchange의 QRadar SOAR 앱(기존 통합 및 신규 통합 모두)은 SOAR 통합 자체 내에서 샘플 플레이북을 통해 기능을 강화되고 있습니다. 현재 IBM App Exchange에서 '콘텐츠 유형'을 필터링하고 '플레이북'을 선택하면 플레이북이 탑재된 60개 이상의 SOAR 통합을 확인할 수 있습니다. 시스템에서 SOAR 통합이 구성되면 관련 플레이북이 자동으로 플레이북 라이브러리에 추가됩니다.
App Host(이전 명칭: Edge Gateway)는 앱 컨테이너를 호스팅하는 Kubernetes 기반 컨테이너 배포 환경입니다. 사용자는 IBM App Exchange에서 SOAR 통합을 다운로드한 후, 이를 자신의 QRadar SOAR 환경으로 가져와서 통합을 구성하고 App Host에 배포하여 앱을 사용할 수 있도록 설정합니다.
침해 대응
QRadar SOAR Breach Response는 보안 인시던트가 발생한 후 데이터 침해 법률 준수를 데이터 침해 통지 법률로 간소화하기 위해 구축되었습니다. 이는 SOC 분석가가 올바른 조치를 취하고 적절한 팀원과 협업하여 민감한 정보, 개인 데이터, 개인 식별 정보(PII) 및 기타 유형의 데이터와 관련된 보안 침해에 대응할 수 있도록 지원합니다. SOAR과 데이터 유출 보고를 통합한 Breach Response는 전 세계 200개 이상의 개인정보 보호 규정을 지원하여 정보 보안 팀이 개인정보 보고 작업을 전체 인시던트 대응 플레이북에 통합할 수 있도록 합니다.
QRadar SOAR Breach Response의 핵심에는 글로벌 지식 기반이 자리잡고 있습니다. 정기적으로 업데이트되는 이 데이터베이스에는 GDPR 및 CCPA와 같은 전 세계의 데이터 침해 보고 요구 사항 및 HIPAA와 같이 개인정보 침해 보고 요구 사항이 있는 산업별 규정이 포함되어 있습니다. 데이터 프라이버시 전문가로 구성된 내부 팀이 글로벌 지식 기반을 관리하고 규제 기관, 정부 기관, IBM 고객 기반의 개인정보 보호 전문가 및 광범위한 개인정보 보호 커뮤니티와 통신하여 최신 정보를 유지합니다.
SOAR Breach Response는 개인정보 보호 관련 작업을 전체 인시던트 플레이북에 직접 통합하여 데이터 침해에 대한 대응을 가속화할 수 있습니다. 이러한 개인정보 보호 작업에는 보안 운영 센터(SOC) 또는 개인정보 보호팀 구성원이 관련 보고 요건을 해결하기 위해 취해야 할 권장 단계가 자세히 설명되어 있습니다.
QRadar SOAR 내에서 단일 인시던트 또는 여러 인시던트에 대해 보고서를 직접 생성할 수 있으므로 팀 및 경영진과 쉽게 침해 인시던트 상세 정보를 공유하여 인시던트 대응 프로세스 전반의 가시성과 명확성을 개선할 수 있습니다.
DDI는 IBM QRadar SOAR를 사용하여 위협 대응을 가속화하고 응답 시간을 거의 85% 단축합니다.
Askari Bank는 비즈니스 사용 사례를 기반으로 구체적인 플레이북을 구축하여 자동화된 응답을 받음으로써 분석가가 가장 중요한 곳에 에너지를 집중할 수 있도록 합니다.
Silverfern IT는 QRadar SOAR를 사용하여 사이버 위협이 감지될 때 전체 보안 인시던트 라이프사이클을 관리하고 기업이 사전 정의된 사용 사례에 맞춰 대응 노력을 조정함에 따라 프로세스를 자동화합니다.