IBM 보안솔루션_보안관제탑, 큐레이더!

IBM Security Intelligence
QRadar Platform
나병준 실장/전문위원, CISSP
한국 IBM 보안 사업부

2 IBM Security 2
Agenda
1. Security
Intelligence
5. Why IBM
3. 기능 상세
2. 제품 개요 4. 구축 사례
Appendix

1. Security Intelligence
IBM SECURITY INTELLIGENCE QRADAR PLATFORM

4 IBM Security
배경
지능형 지속 위협 (APT) 내부자 위협
위험과 취약점 관리 인시던트 대응
• 모범사례와 함께 하는 신속한
대응
• 컴플라이언스의 유지
클라우드 보안
• 사용되고 있는 서비스 식별
• 오용 탐지
• 취약점과 위험에 대한 단일
뷰
• 위험에 기반한 우선순위화
핵심 데이터 보호
• 핵심 데이터의 위치 파악
• 오용 식별
• 악성 사용자 식별
• 계정 도용과 데이터 유출 탐지
• 실시간으로 침해된
엔드포인트를 발견할 필요
• 진화하는 위협 행위와
컨텍스트를 포함하여 경보
우선순위화

5 IBM Security
SECURITY TRANSFORMATION SERVICES
Management consulting | Systems integration | Managed security
MaaS360 Trusteer Mobile
Trusteer Rapport
Trusteer Pinpoint
INFORMATION RISK
AND PROTECTION
AppScan
Guardium
Cloud Security
Privileged Identity Manager
Identity Governance and Access
Cloud Identity Service
Encryption and Key Manager
zSecure
IBM은 가장 폭넓고 깊은 보안 포트폴리오를 제공
X-Force Exchange
QRadar Incident Forensics
BigFix QRadar Network Security (XGS)
App Exchange
SECURITY OPERATIONS
AND RESPONSE
QRadar Vulnerability / Risk
Manager Resilient Incident Response
QRadar User Behavior Analytics
i2 Enterprise Insight AnalysisWatson for Cyber Security
QRadar SIEM
X-Force Malware Analysis

6 IBM Security
Security Operations and Response: Build a Cognitive SOC
대응과 조정
보안 인시던트 대응
Resilient
보안 조정
Resilient
외부 위협 모니터링
서비스
구현하기 쉽고, App을
통하여 솔루션과
서비스 통합이 쉬움
하이 밸류 인사이트
위험과 취약점
우선순위화
QRadar
거버넌스 , 위험 ,
컴플라이언스
위협 요소와 켐페인
인텔리전스
Watson
위협 인텔리전스
헌팅과 조사 툴
i2 Enterprise Insight Analysis
위협 인텔리전스 플랫폼
X-Force, Watson for Cyber Security
NEAR SIEM
보안 분석
사용자와 엔티티 이상행위 분석
QRadar
네트워크 분석
(DNS와 이상행위)
QRadar SOAR 플랫폼과 위협
탐지를통해 로그 관리
이상의 밸류 전달
보안 분석
보안 분석
QRadar
로그 수집과 관리 QRadar
로그 관리와 데이터 저장소
(3rd Party)
3rd Party LM플랫폼과
함께 연속성 유지
새로운 보안 운영 툴
Endpoint Detection
and Response (EDR)
BigFix
네트워크 포렌식과 이상 탐지
Network Insights
통제 포인트와 인프라
세트와의 연속성 유지
기저보안분석레이어상부

7 IBM Security
IBM Security Intelligence는, 전사적 엔터프라이즈로 부터 로그, 네트워크 트래픽, 사용자 활동을 WW클래스
보안 연구소의 풍부한 사례 DB, 상관관계 분석DB를 이용한 상관분석 및 Anomaly 감지를 통하여 구현됩니다.
그리고 사용된 노하우는 표준화되어 공급됩니다.
7
의심스러운
인시던트
우선순위 별 인시던트
서버와 메인프레임
데이터 활동
네트워크 및 가상화 활동
애플리케이션 활동
구성 정보
보안 디바이스
사용자와 Identity
취약성과 위협
글로벌 위협 인텔리전스
확장된 데이터 소스
자동화된
위반행위
식별
• 대규모의 데이터 축소
• 자동화된 데이터 수집, 자산 발견과
프로파일링
• 실시간의 자동화된 통합 Analytics
• 활동 기준선 설정과 비정상 탐지
• Out-of-the box 규칙(룰)과 템플릿
내재된
인텔리전스

2. 제품 개요

9 IBM Security
IBM Security QRadar
IBM Security QRadar는 단순한 로그 수집, 분석(파싱), 단순 검색에 그치지 않고, 네트워크 플로우, 취약점 스캔
결과 등을 수집하여 보다 정밀하며, 포괄적인 상관관계 분석 및 컴플라이언스 관리를 제공하는 차세대
SIEM입니다.
9
IBM QRadar
Security Intelligence
Platform
자동화
시간의 가치를
가속화시켜주는 간결함을
제공
통합
단일화/통합된 아키텍처
단일화된 콘솔 제공
인텔리전트
상관관계, 분석, 대량의
데이터의 축소

10 IBM Security
IBM Security QRadar
IBM Security QRadar는 다양한 고객의 보안 및 컴플라이언스 과제를 해결하였습니다.
10
다른 보안 제품들이 발견하지 못한
알려지지 않은 악성코드를 500개의
단말에서 발견하였습니다.
다른 보안 제품이
발견하지 못한 위협의
발견
하루 20억개의 로그와 이벤트를 통합
관리하여 25개의 중요도 높은
이벤트로 압축시켰습니다.
대규모 데이터 통합
신뢰받던 내부사용자의 핵심 데이터
유출과 파괴를 발견하였습니다.
내부 위협 행위의 감지
정책 모니터링과 인프라스트럭처의
변경 프로세스에 대한 평가를 자동화
하였습니다.
비즈니스에 대한 위협
예측
PCI와 같은 규제 준수 뿐만 아니라
모든 네트워크 활동에 대해
실시간으로 모니터링을 수행합니다.
규정 준수(컴플라이언스)
에 대한 증적 자료 제공

11 IBM Security
IBM Security QRadar
IBM Security QRadar는 다년간 Gartner Magic Quadrant의 글로벌
Leader(2013, 2014, 2015, 2016년 연속1위)그룹에 속해 있으며
탁월한 기술력을 바탕으로 차세대 SIEM시장을 선도하고 있습니다.

12 IBM Security
IBM Security QRadar이 왜 1등인가?
지속적인 기술 로드맵을 통한 비전 제시 및 실제 운영 환경에서의 편의성에 대한 실제 사용 고객들의 긍정적
피드백이 그 요인입니다.
IBM Security
• IBM Security의 QRadar 플랫폼은 QRadar SIEM, Log Manager,
Vulnerability Manager, Risk Manager, Qflow, Vflow, Incident Forensics를
포함합니다. QRadar Technology는 로그 데이터, Netflow 데이터, DPI,
Full packet captur를 통한 데이터의 수집과 프로세스를 지원하고, 모든
지원하는 소스에 대한 behavior analysis 를 지원합니다.
• 최근 개선사항으로는 포렌식 지원, 새로운 데이터 스토리지
어플라이언스, 향상된 쿼리 기능이며, 현재의 상관분석 룰을 통한
historical 이벤트 데이터를 재생하는 기능이 가능합니다.
• 강점
- QRadar는 로그, 이벤트 데이터, 네트워크 플로우와 패킷, 취약
점, 자산 데이터, 위협 인텔리전스에 대한 통합된 뷰를 제공합니
다.
- 고객들이 중간, 그리고 엔터프라이즈 규모 환경에서, 사용된 기술들이
구축과 유지보수 면에서 상대적으로 이해하기 쉽다는 피드백을 보내왔
습니다.
- QRadar는 로그와 Flow에서 behavior analysis
기능을 제공합니다.
- 구매 고객들의 평가에서 확정성, 성능, 기 정의된 룰의 유용
성, 리포트 생성, 제품 퀄러티 및 안정성, 기술지원 부분의 평
균점수가 전체 평균점수보다 높았습니다.

13 IBM Security
IBM Security QRadar
IBM Security QRadar는 분산 구조 아키텍처를 지원하며, 수평적 확장을 통하여 기업의 비즈니스 규모에
최적화된 형태로 구현됩니다.
1) Start-Up또는 중견기업, 기업 내 특정 조직을 위한 구축 모델
•컴플라이언스를 위한 로그 관리와 보안 모니터링 셋업
•하드웨어, 소프트웨어, 가상화 또는 클라우드 내의 단일 소프트웨어
•단일 솔루션을 통한 관리 비용의 감소
•데이터 크기는 작게 시작하여 시간이 지남에 따라 점점 증가함
•예: 초반에는 초당 500개의 보안 이벤트로 시작하였으며 이후 초 당 이벤트가 30000으로 증가
IBM QRadar
하드웨어 소프트웨어 클라우드

14 IBM Security
IBM Security QRadar
2) 새로운 요구사항 – 취약점 관리
•취약점 관리 프로그램을 구현할 필요가 있음
•기존에 존재하는 인프라에 추가적인 라이선스 키를 활성화 시킴
•새로운 설치, 새로운 어플라이언스 등이 전혀 필요 없음
IBM QRadar

15 IBM Security
IBM Security QRadar
3) 플로우 분석을 통한 가시성의 확대 및 완전한 SIEM 기능이 필요해짐
• 플로우 컬렉터/QRadar Network Insights(QNI)를 간편하게 추가
• 라이선스 키를 통하여 SIEM, 인시던트 탐지와 관리가 가능해짐
• 가시성의 증가와 위협 탐지가 강화됨
하드웨어, 버추얼,
소프트웨어 또는 클라우드
IBM QRadar

16 IBM Security
IBM Security QRadar
4) 비즈니스 성장에 따른 수집 데이터의 증가
• 지역적으로 분산됨
• QRadar Processor들을 추가
• 요구되는 초당 이벤트의 수가 수백만개에 이르기까지 제한 없는 수평 확장
IBM QRadar
IBM QRadar
Processor
IBM QRadar
Processor
IBM QRadar
Processor

17 IBM Security
IBM Security QRadar
5) 데이터 스토리지 요청에 따른 확장
• 리포트, 컴플라이언스, 인시던트 분석 등을 위해 더 많은 데이터가 더 오랫동안 필요해짐
• 데이터 처리를 위해 추가적인 디스크 CPU, 메모리가 필요함
• QRadar Data Node의 간편한 추가
IBM QRadar
IBM QRadar
Data Node
IBM QRadar
Processor
IBM QRadar
Collector
클라우드에 구현
IBM QRadar
Data Node
IBM QRadar
Data Node

18 IBM Security
IBM Security QRadar
6) 네트워크 포렌식 기능(컨텐츠 캡쳐)을 추가함
• 기민한 인시던트 보안 조사와 네트워크 포렌식 활동을 가능하게 함
IBM QRadar
IBM QRadar
Data Node
IBM QRadar
Processor
IBM QRadar
Collector
클라우드에 구현
IBM QRadar
Data Node
IBM QRadar
Forensics

3. 기능 상세

20 IBM Security
중앙 집중화된 웹 기반 UI/대시보드
QRadar는 중앙 집중화된 웹 기반 UI와 대시보드를 제공합니다. 관리자/사용자는 브라우저를 이용하여 UI에
접속하여 모니터링 및 관리활동을 동시에 수행합니다.
IBM X-Force으로부터
실시간 갱신되는 위협정보
실시간 보안관리 상황 및
지능적 상관관계 분석 결과
사용자 및
Context 식별
인바운드 NW, 보안 이벤트

21 IBM Security
중앙 집중화된 웹 기반 UI/대시보드
QRadar는 중앙 집중화된 웹 기반 UI와 대시보드를 제공합니다. 관리자/사용자는 브라우저를 이용하여 UI에
접속하여 모니터링 및 관리활동을 동시에 수행합니다.
21
§ 웹 브라우저 기반의 단일 UI
(IE/Firefox/Chrome 등 )
§ 사용자 롤 기반의 정보 및 기능 접근 제어
기능
- 시용자 생성, 롤 생성, 시큐리티
프로파일 생성 및 적용 기능
§ 사용자별로 커스터마이징 할 수 있는
대시보드(작업공간) 제공
- 대시보드 아이템 정의 및 배치 변경
§ 실시간 및 히스토리 데이터 View 및
리포팅
- 실시간 데이터의 자동 갱신 등
§ 사용자 정의 데이터 마이닝 및 드릴다운
기능
§ Security Intelligence를 위한 풍부한 기본
룰셋/룰 정의 마법사 및 룰엔진 제공
§ 한글 및 다양한 언어 지원
IBM Security QRadar 대시보드 특징

22 IBM Security
New UI- QRadar Pulse
22

23 IBM Security
New UI – QRadar Pulse (2017 2Q~하반기)

24 IBM Security
로그 수집 및 정규화
IBM Security QRadar는 로그 수집을 위한 다양한 프로토콜을 지원하며, 지원되지 않는 로그에 대한 수집, 분석,
검색을 위해 사용자 정의 로그 형식인 uDSM(Universial Data Source Module)을 지원합니다. Syslog 형태의
기본 지원되는 로그의 경우, 별도의 등록 과정 없이 로그 전송 시 형태의 자동 파싱 및 데이터 소스 자동 등록을
지원하는 Auto-Discovery기능이 지원됩니다.
24
사용자 정의
로그(예시)
* 복잡한 형태의 JDBC/로컬파일 수집을 위한 TDI(Tivoli Directory Integrator)가 번들로 제공

25 IBM Security
IBM QRadar Network Insights – Deep Contents Analysis
혁신적인 네트워크
위협 분석
향상된 위협 탐지 장기간의 회귀 분석
• 실시간으로 네트워크
트래픽으로부터 본질적 위협
인디케이터를 수집
• 네트워크 트래픽의 전체
가시성을 통해 위협을
헌팅하고 추적함
• 위협이 보안 디바이스로부터의
로그와 네트워크 인사이트와의
상관관계를 통해 선택됨
• 향상된 컨텍스트를 위해
디바이스, 사용자,
애플리케이션을 발견하고 분류함
• 애플리케이션, 자산, 아티팩트,
사용자와 관련된 행위를
선택적으로 수집
• 최신 인텔리전스를 이용한
히스토리컬 분석을 통하여 숨겨진
위험과 위협을 드러냄
IBM AND BP INTERNAL USE ONLY

26 IBM Security
핵심 사용 예제 : 데이터 유출에 대해서
비밀의 노출
“50%의 회사는 정기적으로 기밀
데이터의 유출을 경험하고 있습니다.”
- 대기업 경영자 협회
나의 중요한 데이터가 어디에
포스팅 되었는가?!?
숨겨지지 않은 민감 데이터가 이메일, 채팅
메시지, 파일 또는 소셜 미디어를 통해
실시간으로 네트워크 상에 노출됨. 이러한
전송에 대한 지식은 QRadar가 인시던트
대응의 속도를 높이기 위해 허가된 행위와
무허가 행위를 구별하도록 함
신용카드
데이터
탐지
비정상적
DNS
페이로드
어떤
사용자의
ID가
어디서
사용되었
나
통신상의
개인정보
탐지
과다한
파일 전송
워터마크와
기밀 브랜딩
파일이 간
위치
파일 속성
캡처
다른
의심스러
운 컨텐츠
유출 의심
헌팅
IBM AND BP INTERNAL USE ONLY
기본
강화
고급

27 IBM Security
검색
IBM Security QRadar는 수집된 로그 및 플로우에 대한 정규화 및 인덱싱 기능을 지원합니다. 수집된 데이터에
대한 스키마 확장이 자유로우며, 자주 사용하는 검색 필터를 “퀵 필터”에 사용자 정의 등록 후, 정의된 필터를
검색 외에 대시보드,룰,보고서 등에 불러들여 사용합니다.
필드추출, Group by, Sort 등
Quick
로그서치
화면
정책 설정 / Quick 서치
Ÿ 100개 이상의 검색 필터, 50개 이상의 Quick
로그/네트워크 검색 제공
- 이전 서치 결과를 바탕으로 Sub-
search (Drill-down)시 보다 빠른 조회 가능
- 인덱싱을 통해 핵심 정보에 대한 빠른 조회
제공
- Free-Text 키워드 타입으로 Payload Search
제공
Ÿ Custom 로그 필드 지원
- 로그의 디폴트 필드 값 외에 추가적인 로그
데이터 필드를 추가하여 검색의 유연성 제공
및 보고서, 정책, 대시보드에서 사용 가능
- 동일 디바이스들에 대해 수 십 개의 사전
정의된 필드 제공
검색 하기
필드추출, Group by, Sort 등
Quick
로그서치
화면
로그서치
결과 화면
정책 설정 / Quick 서치
Ÿ 100개 이상의 검색 필터, 50개 이상의
Quick 로그/네트워크 검색 제공
- 이전 서치 결과를 바탕으로 Sub-
search (Drill-down)시 보다 빠른 조회
가능
- 인덱싱을 통해 핵심 정보에 대한 빠른
조회 제공
- Free-Text 키워드 타입으로 Payload
Search 제공
Ÿ Custom 로그 필드 지원
- 로그의 디폴트 필드 값 외에 추가적인
로그 데이터 필드를 추가하여 검색의
유연성 제공 및 보고서, 정책,
대시보드에서 사용 가능
- 동일 디바이스들에 대해 수 십 개의
사전 정의된 필드 제공
Payload 검색

28 IBM Security
검색
IBM Security QRadar는 기존에 제공되는 필드 검색, Free Text검색 기능을 추가로 확장하여 SQL 쿼리와 유사한
Advanced Search 및 해당 검색 결과를 위법 행위로 반영하는 히스토리컬 분석 기능이 지속적으로 추가됩니다.
28
부서정보 등을
참조데이터로
활용한 검색
Advanced 검색 기능은 장기간에 걸친
주기적 통신을 인지할 수 있는 검색
기능을 제공

29 IBM Security
자산 프로파일링
IBM Security QRadar는 로그, 플로우, 취약점 진단등을 통해 파악한 자산에 대한 정보를 프로파일링 하여
관리하며, 관리된 자산 정보를 상관관계 분석, 이벤트 추적, 취약점 정보 프로파일링 정보로 사용합니다.
29

30 IBM Security
UBA > 포괄적인 데이터 셋과 Sense Analytics를 통해 의심스러운
사용자를 감지
내부자 위험 점수
SENSE
ANALYTICSTM
행위 기반
• 패턴 인식
• 사용자와 엔티티 프로파일링
• 통계적 분석
• 아노말리 탐지
문맥 기반
• 비즈니스 컨텍스트
• 엔티티와 사용자 컨텍스트
• 외부 위협 상관분석
시간 기반
• 히스토리컬 분석
• 실시간 분석
• 위협 사냥
• 임계값 기반 룰
사용자
클라우드
애플리케이션
애플리케이션
데이터
서버
DLP
엔드포인트
네트워크
위협
인텔리전스
3rd Party
SIEM 피드
기타 분석

31 IBM Security
UBA > 사용자 이상행위 분석 (User Behavior Analytics)
과다한,
의심스러운
http 액티비티
거의
사용안하던
특권의 사용
계정 특권의
변화
인터넷 상의
악성
사이트와의
통신
높은 가치의
자산 또는
서버에 대해
평상시보다 더
많은 액세스
시간에 따라
급격하게
변화된 계정의
사용
파일 공유
시스템으로의
데이터 전송이
증가 사용자
로그인의
시간-공간상
불일치
네트워크애
접근한 최소
시간 또는
계정이 처음
사용된 시간
비업무
위치에서
인프라에 대한
사용자 접근
높은 중요도의
시스템에 최초
접속한 시간
평상시보다
높은 중요도의
시스템에 대한
접근 증가
특권 부여-제거
횟수 및 주기
사용자 그룹
내의
이상행위자
비업무/휴가
기간의 계정
사용
권한 비정상
또는 사용자
역할 변경
직원의 인사상
위험 또능 이직
위험
UBA 시나리오
클라우드 서버 연결
• 사용자가 클라우드 서버 혹은 Box
개인 계정에 접속하여 민감한
데이터를 업로드 함
높은 중요도의 자산에 액세스
• 사용자가 높은 중요도의 자산에
접근하여 다운로드하는 행위의
빈도가 점차적으로 증가함
시간에 따른 사용행위의 변화
• 사용자 행위가 비교적 짧은 시간에
평상시와 차이가 많거나 시간이
지남에 따라 점차적으로 달라짐

32 IBM Security
UBA > SOC 분석가들은 시간에 따른 행위의 편차 분석에 도움이
필요
§평상시보다 높은 중요도의 자산에 더 많은 접근을
하는 계정
§평상시보다 서버로 혹은 서버로부터 더 많은
데이터가 전송되거나, 외부로의 데이터 전송이
많음
§새로운 지역에서 처음으로 높은 중요도의 서버에
접근하는 특권 계정
§장시간 사용이 없다가 처음으로 사용된 계정
§드문 권한 상승
§독특한 위치에서의 사용된 계정
§기존에 악성 또는 위험성이 있는 이상행위에
포함된 사용자
§사용자 그룹 내에 이상행위자
§다발적 그룹 변경
Large Window Small Window
5 Hours
2% of time application was active
1 Hour
4% Activity
100% increase in activity
Large Window Small Window
New activity

33 IBM Security
UBA > 손상된 기밀 또는 멜웨어 탐지
관리되지
않은 계정
탐지
거의 사용되지
않던 특권의
사용
계정 특권
변경
점프 또는
TOR서버로부
터의 접근
인터넷 상의
악성
사이트와의
통신
높은 가치의
자산 또는
서버에 대해
평상시보다 더
많은 액세스
과다한,
의심스러운
http 액티비티
계정의 사용
빈도수
로그인 실패
평시와 다른
위치 또는
시간에 VPN에
접근하는 계정
평소 사용이
없는 지역에서
사용자가
인프라에
접근함
계정
사용/행위의
비정상적인
변화
대상 그룹에서
이격되는
계정의 사용
행위
계정의 접근
빈도수
사용자 권한의
사용 거부,
중단 혹은
사용 중지
평소 사용이
없는 시간대의
계정 사용
복수
디바이스,복수
장소로부터의
로그인
중요한 자산에
접근하는 휴먼
계정
UBA 시나리오
자산에 대한 접근 횟수 변경
• 사용자 행위의 양이 갑자기
증가하거나, 접근하는 자산의 수가
급격히 늘어남
대상 그룹에서 이격되는 움직임
• 사용자 패턴이나 행위가 대상
그룹에서 이격되기 시작함
계정 권한의 변경
• 사용자가 존재하는 계정에 대해
권한을 변경 시도하거나 다른
시스템에 새로운 계정을 생성

34 IBM Security
UBA 시나리오
UBA > 정보 자산 모니터링
중요한
자산에
접근하는
휴먼 계정
디바이스
타입 변경
대규모
데이터 이동
중요도가
높은 자산의
모니터링
리스폰스
파라미터에
의한
어플리케이
션 오용
세션 교체에
의한
애플리케이
션 오용
잘못된 액션
시퀀스를
통한
애플리케이
션 오용
애플리케이
션에서의
아노말리
행위
특정
디바이스에
서의
비정상적인
자산 접근
방화벽의
리모트
액새스 홀
애플리케이
션 접근상의
아노말리
시퀀스
마이닝에
의한
애플리케이
션 오옹
최근
오펜스에
연관된
디바이스가
사용됨
데이터의
점진적 유출
HTTP에
대한
애플리케
이션
오용
액션 시퀀스에 의한
애플리케이션 오용
• 사용자가 다른 사용자들이 수행하지
않는 액션 시퀀스를 수행
민감 데이터 유출
• 사용자가 http request / response를
조작하여 파라미터를 통해 민감한
데이터를 다운로드 함
멜웨어 또는 봇에 의한
애플리케이션 오용
• 봇 또는 멜웨어가 어플리케이션을
공격하거나 민감한 데이터에 접근함

35 IBM Security
UBA > 사용자 UI

36 IBM Security
UBA > 사용자 행위의 차이 식별 – Machine Learning

37 IBM Security
UBA > 사용자 행위의 차이 식별 – Machine Learning
개별 사용자의 행위에 대한 통계 모델을 생성
후 통상적이지 않는 행위 횟수와 시간을
식별하거나 이벤트의 특정 카테고리의 변경을
식별
이 분석 모델은 즉각적인 사용자 행위 시작을 모델링하여,
정상적인 사용자 행위는 분 기준에서의 초, 시간 기준에서의
분단위에 걸쳐 비교적 일정한 행위가 나타날 것을 기대하게 함.
비정상적 행위가 일정한 간격에 대해 반복될 경우, 위 오른쪽
그림에서와 같이 핫스팟(어두운 영역)으로 표시됨
사용자 행위 모니터링을 통해 사용자가 가진 역할의 색인을 식별함. 위 그림에서의 개개의
색깔은 다른 역할을 표현함. 개별 역할의 색인 편차는 사용자 역할 분포에서 증가 또는 감소로,
분석가가 불필요함에도 사용된 이상한 행위를 쉽게 식별하게 해 줌.
사용자 피어 그룹이 역할의 색인 또는 정의된 역할 집합에 의해 식별될 수
있음. 이러한 피어 그룹을 활용하여 사용자의 행위가 변경되었는지를
식별함.이러한 식별은 위 그림에서 어두운 밴드로 표시되며, 붉은 색은
새로운 피어에서 우세한 내역을, 어두운 검정색은 상실된 피어를 표현함

38 IBM Security
취약점 프로파일링
IBM Security QRadar는 내장된 스캐너 및 3rd Party 스캐너와 연동하여 자산에 대한 취약점 정보를 취합,
분석하여 각 자산에 대한 취약점 정보를 프로파일링 하는 기능을 제공합니다. 취약점 정보는 OSVDB 표준을
준수하며, 프로파일링 된 취약점은 상관관계 분석 시 분석 요소로 적용됩니다.
38
주기적인
스캐너 실행
수집된 취약점을 통한
취약점 프로파일 생성/갱신
§ 지원하는 취약점 스캐너*
- nCircle IP360 스캐너
- Nessus
- Nmap
- Qualys
- FoundScan
- Jupier Networks NSM Profiler
- Rapid7 NeXpose
- SAINT 등
* 상용 스캐너 라이선스는 별도 구매 필요
Database
취약점
IBM Security QRadar
데이터베이스 애플리케이션
애플리케이션
취약점
IBM Appscan EntIBM Guardium
시스템/
제품 취약점
IBM Endpoint
Manager
엔드포인트
IBM QVM Scanner

39 IBM Security
IBM Security QRadar는 각 취약점 스캐너에 대한 시그너쳐 현행화를 위해, 신규 OSVDB 정보 및 시그너쳐를
자동으로 업데이트 합니다. 취약점 스캐너가 QRadar내부에서 주기적으로 수행되거나 정보를 가져올 수 있도록
스케쥴링 기능이 제공됩니다.
39
취약점 스캐너 스케줄링 수행
취약점 진단 결과가 각 Asset별로 정리되고 상세한
OSVDB정보에 대한 요약 정보 및 상세정보로의 링크가
제공됨

40 IBM Security
IBM Security QRadar는 발견된 취약점을 자산IP별로 정리하여 각 취약점에 대한 설명, 해결책, 다양한 IPS
제품을 통한 Virtual Patching정보를 제공합니다.
40
해당 취약점과
관련된 자산 정보,
CVE/OSVDB 에
대한 링크제공
해당 취약점에 대한
설명 및
해결 방법
이기종 IPS 에 대한
Virtual Patching
정보 제공

41 IBM Security
포괄적 상관관계 분석 룰
IBM Security QRadar는 로그, 플로우 및 취약점 정보 등 수집되는 다량의 정보를 실시간으로 분석하고 다양한
형태의 측면으로 해석하는 포괄적 상관관계 분석 룰 및 룰셋을 제공합니다.
• 수 백가지의 실시간 상관관계 분석
룰과 분석 테스트 제공을 통해 out-
of-box 설정 가능
- 자연어 처리 방식에 가까운 정책
설정
마법사 제공
• 생성된 룰과 룰을 손쉽게 연결
• 이벤트 간의 시간 관계를 기준으로
연관을 위한 Sequence Testing 기본
지원
• 다양한 조건의 룰 설정을 위한
다양한 룰 테스트 및 Function 지원
• Custom 로그 필드 지원
- 로그의 디폴트 필드 값 외에
추가적인
로그 데이터 필드를 추가하여
검색의
유연성 제공 및 보고서, 정책,
Dashboard에서 사용
- 동일 디바이스들에 대해 수 십개의
사전 정의된 필드 제공
기본정책 화면
정책설정 화면

42 IBM Security
포괄적 상관관계 분석 룰
IBM Security QRadar는 기본 룰셋 외에, 운영 환경에 적합하도록 룰을 생성하는 룰 Wizard를 제공하며, 다양한
조건을 가지고 룰을 생성하는 기능을 제공합니다.
42
and, and NOT,
greater than등
다양한 조건 사용
username,IP,
Asset정보와
연계된 룰 생성

43 IBM Security
비정상 행위 탐지
IBM Security QRadar는 상관관계 분석 외에, 학습된 데이터를 기반으로 한 실시간 비정상 행위
탐지(NBAD :Network Anomaly Behavior Detection)기능을 제공합니다. NBAD를 이용하여 알려지지 않은
공격에 대응합니다.
43
§ 특정 기간 동안의 값 또는 값의 합이 정해진 기준에 위배되는 경우를 탐지
§ 복수개의 필터로 된 기준 또는 필터 없는 단순 기준에 의한 탐지를 지원하며, 사용자 정의
속성값에 의한 탐지 지원함
§ Use Case
- 애플리케이션 Bandwidth, 서비스 실패 감지
- VPN에 접속한 사용자 수, 외부로의 대규모 데이터 전송 감지 등
Threshold

44 IBM Security
44
§ 긴 시간 동안의 기준 속성에 대한 값을 기준으로 상대적으로 짧은 시간 동안의 값의 변화량을
탐지하며, Threshold와 마찬가지로 사용자 속성 값 및 사용자 정의 필터 기준을 지원함
§ 이상징후 탐지를 위한 모니터링 기간을 장기간 지속 가능(6개월 이상의 장기간 기준 지원)
§ Use Case
- 알려지지 않은 서비스의 출현 감지
- 애플리케이션 링크의 Bandwidth의 급작스런 변화 감지 등
Anomaly

45 IBM Security
45
§ Behavior는 일정한 기간(Season)을 기준으로 학습한 데이터 기반 하에 동 시간대의 값을
비교하여 해당 값의 패턴 변화(학습한 패턴을 기준으로 한 prediction과의 비교)를 감지함
§ 사용자가 지정한 필터 기준 및 사용자 정의 속성을 통한 패턴 변화 감지를 실시간으로 지원
§ Use Case
- 알려지지 않은 웜, 스캐닝, D/DoS 공격 감지, 야간 시간 동안의 스팸 메일 발송 여부 감지
- 기존 서비스 프로토콜 또는 애플리케이션의 사용 패턴 변화 감지 등
Behavior

46 IBM Security
Offence를 통한 지능형 위협경보 및 추적
IBM Security QRadar는 포괄적 상관관계 분석 결과 및 비정상 행위 탐지 결과를 종합하여 자산에 대한 내/외부
위협 시나리오를 생성하여 중요도 순으로 관리자에게 통보하고 해당 내역을 추적하는 Offence 기능을
제공합니다.
46
지난 24시간 동안의
네트워크와 보안
이벤트(예: 2천7백만개)
QRadar의 상관관계 및
데이터 분석을 통해
offense를 생성(예: 129)
Offense는 사용된
네트워크, 자산, 사용자
식별정보 등에 대한
정보를 제공하는 위협
또는 규칙 위반에 대한
완전한 시나리오를 제공
Offense는 비즈니스
영향도에 따라 중요도가
부여됨

47 IBM Security
IBM Security QRadar는 발생한 Offence에 대해 중요도를 판단하는 Magnitude를 판단합니다. 운영자는
Magnitude를 통하여 즉시 대응해야 하는 우선순위를 결정합니다.
47
•신뢰성:
오탐인가 아니면 실제 공격인가?
•심각도:
대상의 취약점 및 이벤트에 비례하는 알람 레벨
•자산가치:
자산 또는 네트워크의 가치에 따른 중요도
중요도는 상황 인식에 기반하여 시간에 따라 변경될
수 있음

48 IBM Security
IBM Security QRadar에서 제공하는 Offence는 해당 위협에 대한 관련 정보를 한 페이지 안에 표시하여
관리자가 쉽게 해당 위협 내용을 파악하고 대응할 수 있도록 합니다.
48
탐지된 위협
시나리오 정보
공격소스에
대한 정보
얼마나 많은
대상이
공격받았는가?
탐지 신뢰성
공격소스에
대한 정보
공격과 관련된
취약점이 있는가?
대상이 비즈니스에
있어서 가지는
가치는?
이 공격과
관련된 모든
로그들

49 IBM Security
IBM Security QRadar는 Offence기능을 통하여 대규모 데이터를 분석, 압축하여 유의미한 이벤트로 집약합니다.
49
예시: 20339개의 로그 및 flow들을 1개의 offence로 축약하여 중국발 공격 ip
로부터 2개의 네트워크 세그먼트 내의 로컬 시스템 315개가 취약점을 이용한
Exploit공격에 노출됨을 한 개의 위협 시나리오 경보로 제공

50 IBM Security
JailShell을 이용한 Remediation 지원
IBM Security QRadar는 긴급 경보 발생 시 사용자가 JailShell형태(Bash, perl 등)로 정의한 명령을 룰의 자동
대응 액션으로 수행하는 기능을 지원합니다.
50
** 연동 대상에서 3rd party와의
인터페이스가 지원되어야 함
QRadar
Jailshell
수행
문자 메시지
경보 알람
IPS, 방화벽
문자메시지
전송 시스템
API 호출을 통해
문자 메시지 전송
WAV 재생
script 실행
명령 수행
DB형태
통제시스템
이메일
통보(기본)
QRadar의 룰 설정 예시
- 이벤트, 플로우 룰을 통해
주요정보 유출 의심 등
긴급 상황 발생 시 통보/액션
- Offense 룰을 통해 일정
수준 이상 위협 또는
주말/야간 시간 위협 발생
시 통보 (문자 메시지)
자동 대응
필요한 경보
발생
기 정의된
액션 자동
수행
명령 예약어 Insert**
명령 수행**

51 IBM Security
사용자 정의 마법사가 제공되는 리포팅
IBM QRadar는 COBIT, SOX등 Compliacne에 대한 룰셋을 제공하고 관련 리포팅을 제공합니다. 또한 관리자가
필요에 따라 내부규정 및 사용자 규정을 정의하고 리포팅을 손쉽게 할 수 있는 마법사가 제공됩니다.
51
Qradar 리포팅
Ÿ 1300여종의 기본 리포트 템플릿 제공
Ÿ 컴플라이언스 및 보안 베스트
프랙티스에 대해 즉시 사용 가능한
템플릿제공
- ISO27001, COBIT, SOX, GLBA, NERC,
FISMA, PCI, HIPAA 등
Ÿ 새로운 정의를 포함한 쉬운 수정
Ÿ 새로운 규정과 베스트 프랙티스를
포함한 확장 기능
Ÿ 기존의 검색 필터, 상관관계 룰의 활용
가능

52 IBM Security
확장 기능>API 제공
IBM QRadar는 수집한 데이터 및 발생한 오펜스, 자산, 참조 데이터셋에 대한 API를 제공하여 사용자의 목적에
따른 커스텀 대시보드 개발 또는 SOC와의 통합을 용이하게 합니다.
52

53 IBM Security
확장 기능>API 제공

54 IBM Security
확장 기능>IP 평판 정보>> X-Force Premium IP Reputation 제공
IBM Security QRadar는 IBM X-Force에서 제공하는 IP Reputation정보를 제공받아 풍부한 Reputation정보를
기초로 룰 및 검색, 리포팅 등에 활용합니다.
54
- Malware hosts
- SPAM sources
- Dynamic IPs
- Anonymous Proxies
- Geo-location information
- Botnet Command & Control
- Scanning IPs
위협 카테고리
E-mail Lists
Honeypots
Spam Traps
Web Crawlers
Darknets
스팸 다이나믹 IP Malware
IBM 12 M 900 M 19K
타 경쟁사 8 M 736 M 1K

55 IBM Security
확장기능> App Exchange
IBM QRadar는 App Exchange를 통하여 QRadar를 사용하는 사용자들이 지속적으로 인텔리전스 및 Know-
How를 공급받을 수 있는 App장터를 제공합니다.
IBM Security
App Exchange
• QRadar 7.2.6 부터
연동 기능이 제공되며,
X-Force
Exchange내의 App
페이지를 통해 접근
• 사용자는
Exchange로부터
App을 무료 다운받아
QRadar에 Plug-
in으로 설치(삭제 가능)
• App은 새로운 기능,
보안 컨텐츠, 새로운
저장된 검색, 대시보드
아이템, 리포트 등을
포함 (산업군 별
컴플라이언스 및
커스텀 룰 셋 패키지
포함)

56 IBM Security
관리를 위한 편의 기능 제공
IBM Security QRadar는 관리자의 시스템 관리 작업에 도움을 주는 자동 업데이트, 백업, 데이터 Retention, 자체
시스템 모니터링 기능 등을 제공합니다.
56
Qradar Auto-Update 사용 조건 및 종류
Ÿ Auto-Update는 Auto-Update 옵션 제공
Ÿ 자동 업데이트: 업데이트가
발표될때마다 시스템에 자동 적용
Ÿ 업데이트 파일 다운로드: 업데이트가
발표될 때에 자동으로 다운로드 받으나
적용 여부는 관리자가 판단
Ÿ 업데이트 통보: 업데이트가 발표될 때에
업데이트 유무만 관리자에게 통보
데이터
Retention
정책
자동
백업 설정

57 IBM Security
확장 기능>Data Node
IBM QRadar는 확장 분산 형태로 데이터 저장 및 검색속도의 향상을 제공하는 Data Node 옵션을 제공합니다.
57
§ QRadar Data Node 14xx
– 데이터 유지 요구사항에 맞추어 사용될 수 있는
Plug and Play 스토리지
§ 특징 및 용량
– QRadar 컴포넌트로부터 이벤트와 플로우를 받아
저장함
– 검색 작업에 능동적으로 참여하여, 추가적인
프로세스 파워를 제공하고 그 결과로 검색 성능을
향상시킴
– 추가적인 EPS/FPM 라이선스를 필요로 하지 않음
– 연결을 위해 관련 있는 QRadar 모듈을 요구함 :
31XX, 2100, 16XX, 17XX, 18XX
– 저장용량
– xx28 : 40TB
– xx05: 6 TB
– 사용자 공급에 따라 100TB까지 확장
§ 업그레이드
– 필요에 따라, 추가적인 Data Node가 더 연결될
수 있음
§ HA 지원
인프라스트럭처로부터 로그 및 네트워크
액티비티 수집
이벤트/플로
우 프로세서
Data
Node
Data
Node

58 IBM Security
확장 기능>취약점 관리>>QVM을 통한 능동적인 취약점 관리
IBM Security QRadar는 QRadar Vulnerability Manager(QVM)를 통하여 취약점 프로파일링 기능의 확장, 취약점
관리 workflow, 취약점 대시보드 등을 제공합니다.
58
완벽한 취약점 문맥과 가시성
통합된 취약점
스캐너
네트워크 기반
탐지와 자산
정보
IBM
보안 문맥 -
AppScan
Guardium
Endpoint
etwork IPS
X-Force
타 취약점
솔루션
e.g. Qualys
Rapid7
Nessus
nCircle
McAfee
QVM의 주요 기능
Ÿ 내장된, 잘 입증된, 확장성있는,
애널리스트들이 인정하는, PCI 표준
보증 스캐너
Ÿ 7만여개 이상의 취약점 탐지
Ÿ CVE 기반 추적
Ÿ 모든 Qradar 로그와 Flow Collector와
Processor 내에서 관련 취약점 표시
Ÿ 외부 스캐너와의 통합 지원
Ÿ 타 취약점 시스템 데이터 피드를
지원하는 완벽한 취약점 뷰 제공
Ÿ 자연스러운 통합된 보고서와 대쉬
보드와 함께 취약점 관리의 예외와 수정
프로세스 지원

59 IBM Security
확장 기능>취약점 관리>> QVM을 통한 능동적인 취약점 관리
QVM은 IBM X-Force와 연계되어 지속적인 연구와 지식 기반 보안 취약점/권고문/뉴스 DB를 지속적으로
제공합니다.
59

60 IBM Security
확장 기능>취약점 관리>> QVM을 통한 능동적인 취약점 관리
QVM은 취약점 관리를 위한 Workflow기능을 제공하여 취약점 리스트, 검색, 사용자 할당, 처리 결과 업데이트,
예외 처리 등의 작업을 수행합니다.
60
QVM 취약점 관리
Ÿ IP 주소와 자산명
Ÿ 보안 취약점 이름과 취약점 상세 정보
링크
Ÿ PCI 기준 위험 정도, 위험 수준, CVE
ID와 상세 정보 링크
Ÿ CVSS 점수
Ÿ 발견된 날짜와 가장 최근까지 발견된
날짜
Ÿ 취약점 해결을 위해 할당된 담당자 이름,
현 상태, 해결 예정 일자
Ÿ Actions – Print, Export, Assign,
Exception (see later), View history
Ÿ 사용자 지정 - Update, re-assign,
exception

61 IBM Security
확장 기능 >네트워크 포렌식>>패킷 풀캡처/Replay
IBM QRadar는 Full Packet Capture 기능을 제공하는 QRadar Incident Forensics를 통하여, 이상징후의 예측,
감지로부터 증거자료 확보 및 조사단계까지 끊김 없는(Seamless) 일련의 보안 활동을 보장합니다.
61
서버, 메인프레임
네트워크와 가상 액티비티
애플리케이션 액티비티
데이터 액티비티
구성 정보
취약점과 위협들
사용자와 식별정보들
글로벌 위협 인텔리전스
보안 디바이스들
• 자동화된 데이터
수집과 자산 발견
• 실시간, 통합된
분석
• 대량 데이터의
리덕션
• 비정상 탐지
QRadar Incident
Forensics
• 풀 PCAP
포렌식
• 자세한
인시던트 메타
데이터 증거
• 컨텐츠와
인시던트
액티비티의
재구성
QRadar SIEM
QRadar에
의해 식별된
오펜스들
데이터 소스들 추출 식별 조사
Correlation Anomaly

62 IBM Security
확장 기능 >네트워크 포렌식>>패킷 풀캡처/Replay
IBM Security QRadar는 네트워크 포렌식을 위해 QRadar Insight Forensic 확장 모듈과 결합하여 실시간으로
분석된 Offence와 관련 있는 정보에 대한 네트워크 포렌식 정보를 제공합니다.
62
QRadar
Packet
Capture
Composer
Searchable
Index
Reconstructed
Files
Digital
Impression
QRadar
Incident Forensics
QRadar
Security
Intelligence
Platform
Other Content
(i.e. Documents)

63 IBM Security
확장 기능 >네트워크 포렌식>>명확한 증거를 획득하기 위한 인텔리전스
QRadar Incident Forensics은 보안 분석가의 포렌식 조사를 지원하기 위해 인텔리전스를 제공합니다.
63
Digital Impressions: 식별된 identity 추적을
위한 관련된 데이터 증거 집성
확장된 관계를 보여주는 digital
impression의 완전한 가시성
EMAIL
VoIP
Chat Social
Web
Network
Content Categorization: 메타데이터
기반의 컨텐츠의 다이나믹 분류 및
노이즈를 필터아웃하기 위한 XForce Feed
지원
Suspect Content: 의심스러운 행위를
식별하기 위한 컨텐츠 기반의 룰셋 정의 Entity Alert
Scanning IP
Botnet
.
.

64 IBM Security
확장 기능 >네트워크 포렌식>> 직관적인 데이터 탐색과 검색
초보자도 쉽게 포렌식 조사를 수행하도록 직관적이고 논리적인 탐색 및 검색 기능을 제공합니다.
64
Surveyor: 시간순서대로 활동을
재 추적함
Searchable Results: 특정
데이터에 대한 빠른 피벗을
위한 데이터 item 제공 Visual Analytics: 데이터 item들 사이의 상관관계
파악을 위한 비주얼 Navigation 제공

65 IBM Security
확장 기능 >네트워크 포렌식>> 검색 기반의 데이터 탐색
65
• 검색은 발견의 기본
• 모든 것을 Index = 모든 것을 검색 함
• 플로우 메타 데이터
• 프로토콜 메타 데이터
• 메시지 컨텐츠
• 파일 컨텐츠
• 파일 메타 데이터
• 파일 플로우
• 포렌식 데이터는 비정형의 다형성 데이터 임
• 검색 엔진이 최고의 솔루션
• 1회 Index를 통해 모든 것을 검색함
• 쉽고 친숙한 검색 방법론
• 이기종 데이터와 이벤트를 상관분석 & 동화함
• 수 TB의 데이터에 대한 초단위 반응 시간
• Query 언어를 지원하는 강력한 검색 엔진 (Boolean, Phonetic, Proximity Searches)
• 포렌식 수행을 위한 가상 보안 분석가 기능

66 IBM Security
확장 기능 >네트워크 포렌식>> 세션 재구성 - Inspectors
QRadar Incident Forensics은 Inspector 프레임워크를 이용하여 패킷으로부터 전체 세션을 재구성합니다.
66
Inspectors는 패킷으로부터 정보를 획득
• 풍부한 검색 환경 제공
• IPAddress = 192.168.6.27 AND WebHost
= bank AND Content: credentials
• Port = [ 774 TO 899 ] AND File =
emaillist.doc
• 사용자가 가시적으로 재구성된 세션과 이벤트를
볼 수 있도록 함
• 웹 페이지
• 소셜 네트워킹 사이트
• 문서
• 인스턴스 메시지
• 프로토콜
Inspector Framework는 확장 가능하므로, 새로운 Inspector가 특정한
프로토콜 또는 커스텀 애플리케이션을 위해 만들어질 수 있음

67 IBM Security
확장 기능 >네트워크 포렌식>> SSL Decryption
QRadar Incident Forensics은 3rd Party 와 결합하여 동기식 또는 브라우저 또는 키 세션 교환 방식의 비동기식
기법를 이용하여 SSL Decryption을 지원합니다.
67
Referer: https://www.xxx.xxx

68 IBM Security
확장 기능>위험관리>>QRadar Risk Manager를 통한 위험 관리
IBM Security QRadar는 QRM 모듈을 이용하여 방화벽/네트워크 장비의 구성 감사 및 진단, 위협 모델링, 공격
경로 분석 등을 수행합니다. QRM은 조직의 보안 활동을 사후관리에서 예방관리로 변경시킵니다.
68
멀티 벤더 네트워크 장비에 대한 구성 분석,
모니터링 및 감사
자동화된 컴플라이언스와 정책 검증
- 구성, 네트워크 활동, 취약점 관리 및 위험 분석
위협 모델 예측 및 시뮬레이션

69 IBM Security
확장 기능>위험관리>>QRadar Risk Manager를 통한 위험 관리
QRM은 방화벽 및 네트워크 장비에 대한 구성 감사 및 관리를 수행합니다.
QRM 방화벽 감사 및 관리 기능
Ÿ 방화벽 구성 감사 및 시간에 따른 변경
식별
Ÿ 룰 분석 및 최적화
- 반복 룰 식별 및 미사용 룰 식별
Ÿ 패치와 룰 분석
- A와 B사이의 트래픽이 관찰 되는가?
- 어떤 룰이 트래픽을 허용하고
거부시키는가?
Ÿ 베스트 프랙티스 및 컴플라이언스 정책
모니터링
- 현재 방화벽 구성이 적절하게 구성되어
있는가?
구성에 대한 히스토리 기록
구성 정규화
강력한 룰 검색
룰 사용현황/드릴 다운
시간에 따른 구성 비교

70 IBM Security
확장 기능>위험관리>> QRadar Risk Manager를 통한 위험 관리
QRM은 구성 정보 및 데이터 등을 통하여 위험 분석 및 관리를 수행합니다.
70
QRM 위험 분석 및 관리 기능
Ÿ 네트워크 구성 변경에 대한 모니터링 및
관리
Ÿ 위험성이 내포된 정책 예외 트래픽 식별
Ÿ 컴플라이언스 위반 관리 및 예방
Ÿ 다수의 취약점에 대한 순위 선정 및
관리
Ÿ 네트워크에 대한 공격 가능성 및 위험도
결정
위험도가 있는 트래픽에
대한 빠른 진단
실제 트래픽에 대한
세부 드릴 다운
새로운 위험도가 있는
트래픽에 대한 모니터링
새로운 공격노출 탐지
모니터링
공격 전파 시뮬레이션
이론적인 공격 경로 표시

71 IBM Security
확장 기능>위험관리>> QRadar Risk Manager를 통한 위험 관리
QRM은 방화벽/네트워크 구성정보, Offence 정보 등을 결합하여 공격 경로에 대한 해석 등 포렌식 정보를
제공합니다.
71
QRM SIEM 포렌식 분석 기능
Ÿ 위협에 대한 네트워크 경로 추적
- Offence 경로 분석
- 공격을 허용한 디바이스와 룰 관찰
Ÿ 손상된 자산에 대한 정보 제공
- 손상된 자산으로부터의 모든
커뮤니케이션(성공 및 실패 포함)에 대한
빠른 가시성 확보
Ÿ 토폴로지 제공
- 자산이 네트워크 토폴로지에서의 위치
파악
- 해당 자산 주변의 디바이스와 자산
정보 제공
영향 받은 시스템들을
가시화
구성에 대한 퀵 액세스
공격을 허용한 룰을
하이라이트

72 IBM Security
확장기능>인시던트 대응>> Resilient IRP를 통한 인시던트 대응
IBM Security QRadar는 IBM Resilient IRP와 양방향 티켓팅 서비스를 통해 인시던트 대응을 위한 서비스
데스크를 제공합니다.
:
:
App Logs
F/W Logs
DHCP Logs
티켓 생성/사고 감지
AUTOMATIC
ENRICHMENT
인텔리전스:
취약점관리
DNS분석:
MANUALLY
INVOKED
ENRICHMENT
엔드
포인트:
APT대응:
웹게이트웨이:
액션 모듈
RESILIENT’S 정보보호
침해사고 대응 플랫폼
MANUALLY
INVOKED
REMEDIATION
IT 헬프데스크:
포렌식:
계정관리

73 IBM Security
확장기능>분석가를 위한 i2 EIA 연동
사이버 분석을 통해 비즈니스를 목표로 하는 위협에 대해 깊은 이해를 수행합니다.
포커싱 된 모니터링과 위협 완화
• 위협 발견
• 위험 관리
• 결정 지원
• 통합된 데이터 피드
• 엔텊라이즈 어웨어니스
• 컴플라이언스 모니터링
사이버
분석
개인 데이터
보안 / 위협 인텔리전스
• Hacker forums
• Intel vendors
• Threat indicators
• Social media
• Government alerts
• Community info
• HR data
• Reviews
• Behavioral data
• Badge logs
• Access logs
• Account creation
• PCAP
• Alerts
• System logs
• SIEM
• SSO / AD
• Vulnerability scans
IT 와 전통적이지 않은 정보 피드 외부 정보 피드
사람 주도
사이버
분석

74 IBM Security
확장기능>분석가를 위한 i2 EIA 연동
IBM i2 QRadar Offense Investigator를 통하여 Security Intelligence에 의해 추출된 의심 행위에 대해 사람
분석가가 Deep Dive한 분석을 수행합니다.

75 IBM Security
QAW >인지 보안의 시작
IBM 보안 사업부가 소개하는 보안 운영의 혁명적 변화
• 보안 분석가의 위치에서 보안 인시던트를 조사하고
정탐여부를 가리며, 비정상을 확인하는 강력한 인지
능력을 고용
• Powered by Watson for Cyber Security : 엄청한 양의
보안 지식을 활용하고 특정 보안 인시던트에 통찰력을
전달
• 스킬 부족, 경보의 홍수, 늦어지는 인시던트 대응, 보안
정보와 위험 관리 비용을 포함한 현재 보안 운영의
숙제를 해결함으로써 SOC운영을 전환시킴
• 쉽게 구매하여 사용할 수 있는 디자인: IBM Security
App Exchange를 통하여 제공되며 수 분 내 전개됨
NEW! IBM QRadar Advisor with Watson

76 IBM Security
수십 억개의
데이터 요소
X-Force Exchange
Trusted partner feed
Other threat
feeds
Open
source
Breach
replies
Attack write-ups
Best practices
Course of action
Research
Websites
Blogs
News
보안 지식의
대규모 코퍼스
100억개 요소 더하기 4백만개 추가 / 시간
125만개 문서 더하기 15000 개 추가 / 일
수백만개의
문서
Watson for Cyber Security의 작동 원리
정형 데이터 비정형 데이터 웹 크로울러
5-10 업데이트 / 시간 ! 100K 업데이트 / 주간 !
100+ beta customers (5 한국)
140K+ web visits in 5 weeks
200+ trial requests
SEE THE BIG PICTURE
“QRadar Advisor enables us to truly
understand our risk and the needed
actions to mitigate a threat.”
ACT WITH SPEED & CONFIDENCE
“The QRadar Advisor results in the
enhanced context graph is a BIG savings in
time versus manual research.”

77 IBM Security
• 인시던트 데이터 리뷰
• 관련이 있는 특이한 데이터 리뷰 (예를
들어, domains, MD5 등)
• 특이사항 발견을 위한 데이터 피벗
(즉, 통상적이지 않은 도메인, IP, 파일
액세스 )
• 인시던트의 주변에 대한 데이터를
포함하여 검색 확장
• X-Force Exchange + Google + Virus
Total + 기타 선호하는 툴을 이용하여
특이 사항을 검색
• 활동중인 새로운 멜웨어를 발견
• 멜웨어의 명칭 획득
• 추가적인 웹 검색을 통해 침해의 표식
사례를 수집
• 로컬에서 수집한 침해의 표식을 조사
• 동일한 멜웨어에 감염이 의심되는 다른
내부 IP들을 발견
• 위협 연구로부터 수집된 통찰 기반의
인시던트 오탐 여부 확인
• 관련된 IP로부터 추가적인 조사를 수행
인시던트를 조사하는 보안 분석가의 인지적 업무
시간
소모적
위협 분석
더 쉬운 길이 있음!
인텔리전스를 적용하고
인시던트를 조사함
위협 연구 결과를 수집하고,
전문성을 발전시킴
인신던트를 발생 시킨 로컬
컨텍스트를 획득

78 IBM Security
보안 분석가와 기술 사이에 새로운 파트너 십을 생성
QRadar Advisor는 SOC의 조사 리소스를 보조
• 경보를 관리
• 보안 이벤트과 비정상을 연구
• 사용자 행위와 취약성을 평가
• 구성
• 기타
• 데이터 상관분석
• 패턴 식별
• 임계
• 정책
• 비정상 탐지
• 우선 순위화
보안 분석 기술
보안 분석가 Watson for Cyber Security
• 보안 지식
• 위협 식별
• 추가 인디케이터를 도출
• 직간접적인 관계도 형성
• 증거자료
• 로컬 데이터 마이닝
• Watson for Cyber Security를 이용한 위협 연구
• 보안 인시던트에 대해 평가하고 관련성을 생성
• 발견된 점을 표시
QRadar Advisor with Watson
보안 분석가
보안 분석
기술
QRadar
Advisor with
Watson
Watson
for Cyber
Security

79 IBM Security
QRadar Advisor with Watson 작동 순서
지식그래프의심스러운
행위들
디바이스
행위들
다른
디바이스들
1 단계 – 특징 사냥
인시던트/비정상
결과와 새로운 특징
의심스러운
디바이스
위협
2단계 – 코그니티브 조사/연구
특징
3단계 – 확장된 특징 사냥
인시던트 진단
QRadar
Advisor
QRadar
Advisor

80 IBM Security
Gain local context leading to the incident and formulate a threat research
strategy

81 IBM Security
Perform the threat research and develop expertise

82 IBM Security
Apply the intelligence gathered to investigate and qualify the incident

83 IBM Security
식별 의심스러운 행위들
이해 • 대상 시스템
• 동기
• 목적
• 유지 시간
식별 침해된 호스트들
이해 • 대상 취약점
• 목적
• 공격 시퀀스
• 범위
식별 최초 대상
이해 • 이름
• 계열
• 근원지
• 감염 방법
• 영향도
복잡한 위협을 식별하고 이해함
코그니티브 작업을 통해 보안 인시던트에 대한 이해가 풍부해짐. 보안 분석가는 복잡한 위협을 식별하고
이해하기 위해 필요한 인사이트를 얻을 수 있음.
멜웨어 EXPLOITS의심스러운 행위
SEE THE BIG PICTURE
“전통적 사이버 보안 분석 모델을 도로 가에 서서 잠재적 범죄자들을 식별하려고 노력하는 것에 비유를 할 수
있습니다. 통행 속도가 빠르면, 누가 속도를 올린 것인지 아니면 훔친 자동차인지를 식별하는 것이
불가능해집니다”…”왓슨을 이용하게 되면, 동일한 도로에 헬리콥터를 타고 상공을 나는 것과 같다고 할수 있습니다.”

4. 사례 및 레퍼런스

85 IBM Security
위협에 대한 정교한 상관관계 분석
포괄적인 상관관계 분석을 통해 APT, Blended Attack, Unknown 공격 등을 효과적으로 탐지 할 수 있을 뿐만
아니라, 어플리케이션 분석, 사후 분석(Forensics), 네트워크 비정상 행위 탐지, 데이터 유출 탐지, 네트워크
가시성 등을 제공합니다.
85
IDS에서 버퍼
오버플로우
Exploit시도 탐지
QFlow에 의해 네트워크 스캔 탐지
(어플리케이션 분석 및 Raw data
제공)
취약점 스캐너 Nessus에 의해 진단된 시스템의 취약성
결과를 바탕으로 IDS에서 탐지된 이벤트에 실제 취약성이
있음을 판단
즉시 조치를 취해야 할 Offense 탐지
(해당 근거 아래 제시)
• 보안 장비, 시스템, 어플리케이션의
로그, 네트워크 장비의 트래픽 정보,
취약점 스캐너의 취약점 스캔 정보,
네트워크 어플리케이션 분석 데이터
등에 대한 수집 및 데이터 정규화
• 포괄적인 상관 분석 엔진을 통한
이벤트 탐지
• 보안 탐지이벤트와 네트웍 트래픽
정보, 그리고 취약점 스캐너 결과를
비교, 분석함으로 해당 서버에
취약성이 있음을 확신하고 해당
경고를 발생
- 오탐율 최소화
- 즉시 조치하거나 주목해야 할
이벤트 탐지
• 취약성 있는 자산들에 대해 자산의
가중치 표시로 먼저 조치 해야 할
자산의 우선순위 확인
• 수집된 여러 정보를 바탕으로 자산
정보 제공 (취약점 정보 포함)

86 IBM Security
네트워크 가시성을 통한 Well-Known 포트에서의 봇넷 발견
트래픽의 Layer 7 데이터를 분석하고 어플리케이션을 인지하는 가시성을 제공함으로 위협에 능동적으로
대처합니다.
86
• 기존의 네트워크 장비로 부터 Flow
수집 및 QFlow Collect 장비를 이용한
트래픽 데이터 분석 및 Layer 7 분석
및 수집
• 네트워크 행위 기반 탐지(임계치,
Anomaly, Behavior), 데이터 유출 탐지
및 네트워크/어플리케이션에 대한
가시성 등 다양한 보안/네트워크
관점의 기능 제공
• 향상된 보안 탐지 및 포렌식을 위한
Raw 데이터 캡처, 데이터 분석 제공
및 플로우 소스들에 대한 완전한 피봇,
드릴 다운, 데이터 마이닝 지원
- 최대 65535 bytes Payload 저장 가능
Port 80을 통한 IRC 탐지
(포트에 비의존적 탐지)
Botnet 탐지
(기존 SIEM의 한계를 넘어섬)
Port 80을 통한 IRC 탐지
(포트에 비의존적 탐지)
Botnet Command and control
지시
(부인할 수 없는 명백한 근거 제시)

87 IBM Security
시스템 로그를 통한 내부 사용자 의심 행위 탐지
사용자 로그인 성공/실패 기록에 대한 실시간 모터링 기록 및 historical분석 기록을 통하여 사용자의 로그인
실패 행위가 단순한 실패인지 불법 로그인 시도인지를 판별합니다.
87
인증 실패
패스워드를 잊어버린 사용자인지의
판단 여부
브루트-포스 패스워드 공격 가능성
상이한 사용자 계정들에 대한 다수의
실패한 로그인 시도
호스트 도용여부
로그인 성공 기능을 분석하여 정해진
룰셋 내에서 사용자 ID 도용 여부를
판별

88 IBM Security
애플리케이션 정보와 감사 로그 분석을 통한 정보 유출 탐지
Qflow를 통한 Layer7모니터링 및 데이터에 대한 엑세스 기록등을 종합하여 내부 정보의 유출 가능성을
탐지합니다.
88
잠재적인 데이터 유출 가능성 탐지
- 탐지의 근거는 무엇인가?
행위자
- 내부 사용자
대상
- 오라클 데이터 접속 기록
기반
전송 수단
- Qflow를 통해 Gmail 이용
식별

89 IBM Security
Custom 상관관계 룰을 이용한 로그 분석/관제 활용 예시
u 다양한 보안 장비에서 발생하는 보안 로그 이벤트의 복
합적인 상관분석을 통한 정제된 보안 이벤트 처리
u 정규화되고 중복된 보안 이벤트 처리를 통한 보안관제
효율성 향상 및 효율적인 로그 분석
u 중복된 보안 로그 이벤트 처리 기능을 통한 보안 로그의
효율적인 압축률 제공
TO-BE : 정제된 이벤트 – 하루 10개 이하 권고
u 다양한 보안 장비에서 발생되는 중복된 단순 보안 로그
이벤트 처리로 인한 보안 로그 이벤트 홍수 발생
u 보안 로그 이벤트 홍수 발생으로 인한 관제의 어려움 및
효율적인 보안 로그 분석의 어려움
AS-IS : 중복되는 보안 로그 이벤트 홍수

90 IBM Security
장기간 모니터링을 통한 APT공격 탐지
Zero-Day 및 사회공학적 기법 등의 복잡한 공격활동이 장기간 지속되는 APT공격에 대응하는 룰을 제공하고
고객사 환경에 맞는 APT룰 정의를 통하여 APT공격에 대응하도록 합니다.
90
§ APT Attack Scenario § APT 탐지 정책 (Event + Flow)
“When at least this number of these rules, in|in any
order, from the same|any source IP to the
same|any destination IP, over this many seconds”
1. 표적
확인
2. Spear-
Phishing
악성코드 감염
3. 조직 파악
4. 권한상승,
계정탈취
5. 악성코드,
백도어 설치
6. 암호화
전송
아래의 Activity들이 3개월에 걸쳐 수행됨
1. Social media를 통한 개인정보 유출
2. 악성코드 감염(phishing)
3. 로컬 호스트에 대한 스캐닝시도
4. 접근 시도 (Brute Force Attack시도)
5. 백도어 설치 (Bot C&C 통신)
6. 암호화 전송 (Non-standard 포트 이용)
탐지조건:
Same IP에서 Multi IP로 180일 동안 다음 활동 중
순서대로 최소 5개가 만족할 때 탐지
- 소셜 사이트 접속(F), 내부에서 내부 Scan(E), 스캔
후 인증 성공(F/E), IPS/IDS 탐지(E), 봇 접속(E/F),
알려진 봇 서버 접속(E/F), 암호화 통신(F)

5. Why IBM?

92 IBM Security
가시성 확장을 통하여 통합된 보안 인텔리전스를 구현하고 비용을
절감하십시오
패킷(네트워크
포렌식)
취약점
네트워크 구성
감사
네트워크
플로우
이벤트(ESM,
SIEM)
로그
An integrated, unified
architecture in a single
web-based console
전통적인 SIEM
6 products from 6 vendors are needed
and Analytics
IBM Security QRadar
Security Intelligence Platform

93 IBM Security
가시성 확장을 통하여 통합된 보안 인텔리전스를 구현하고 비용을
절감하십시오
네트워크 및
어플리케이션
분석
• Layer 7 응용프로그램 분석
• 포렌식 및 상세 분석을 위한 플로우 분석
• 트래픽 분석 및 Netflow 지원
• 로그, flow, 취약점, 자산정보 상관분석
• 정교한 자산 프로파일링
• 오펜스 관리 및 업무 플랫폼 역할
SIEM
• 로그 관리, 리포팅 기능 제공
• 중소규모 및 엔터프라이즈 네트워크 환경
• 확장성: SIEM 업그레이드
로그 관리
구성 확장
• Event Processors 수평 확장을 통한 증설
• High Availability(HA)&Disaster Recovery(DR)
• 데이터 노드: 로그 보관 비용 감소, 성능향상
• 보안 장비 설정 변경 모니터
• 취약점 스캐닝 및 자산별 RISK 정의
• 위협 시나리오 예측 및 시뮬레이션
위험 관리 및
취약점 관리
네트워크
포렌식
• PCAP파일을 통한 네트워크 세션 재구성
• 분석 정보 시각화 및 연관 분석 정보 제공
• 언제/누가/무엇을에 대한 가시성 제공
Incident Forensics

94 IBM Security
IBM Security QRadar
IBM Security QRadar는 대규모 환경에서 데이터의 수집, 저장, 분석, 통보를 자동화 하며, IBM X-Force로부터
분석에 필요한 각종 DB 및 기초 데이터를 자동으로 업데이트 받아 최신 보안 위협에 대한 대응 준비를 갖추고
있습니다.
94
기대효과
Ÿ 컴플라이언스 향상
Ÿ 더욱 신속한 위협 감지 및 해소
Ÿ 내부의 사기, 절취 및 데이터 누출 감소
Ÿ 악용 방지로 위험 최소화
Ÿ 간편한 운영 및 필요 자원 최소화
특장점
Ÿ 임베디드 데이터베이스와 일원화된 데이터 아키텍처를
이용한 대규모 확장성 지원
Ÿ 진보된 in-memory기술 및 확장된 데이터 집합에 기반한
실시간 Activity 상관관계 분석기능 제공
Ÿ 원본 로그 페이로드 수집 및 저장, 검색을 통한 포렌식
기능 제공
Ÿ 플로우 캡처 후 Layer 7의 컨텐츠 가시성을 공급하는
분석을 통하여 심화된 포렌식을 지원
Ÿ 네트워크 데이터의 Full Capture를 통한 Contents 재구성
및 위협에 대한 증거자료 확보
Ÿ 잘못된 해석 또는 수동 작업을 감소시키는 지능화된
인시던트 분석기능 제공
Ÿ 이벤트 Lifecycle에 대한 관리 기능 제공
(이벤트 Follow-up, add note, email, close등의 action
기능을 제공하며, 이에 대한 이력 조회 및 Report 기능을
제공)
Ÿ 고성능의 free-text 검색과 정규화된 데이터 분석에 대한
고유한 결합 기능 제공
Ÿ 자체 고가용성(HA)을 제공하는 Clustering 기능 제공
Ÿ 170억개 이상의 페이지 정보를 기초로 한 IBM X-Force IP
Reputation DB 제공(Optional)

95 IBM Security
Why IBM?
관제 서비스 국가 (MSS)
보안 전문가
엔드포인트 보호
+
하루에 관리되는 이벤트
+
숫자로 보는 IBM Security
+
+

ibm.com/security
securityintelligence.com
xforce.ibmcloud.com
@ibmsecurity
youtube/user/ibmsecuritysolutions
© Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express
or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of,
creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these
materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and / or capabilities referenced in these materials may
change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, and
other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks
or service marks of others.
Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise.
Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or
product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are
designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective.
IBM DOES NOT WARRANT THAT ANYSYSTEMS, PRODUCTS OR SERVICES ARE IMMUNE FROM, OR WILL MAKE YOUR ENTERPRISE IMMUNE FROM, THE MALICIOUS OR ILLEGAL CONDUCT
OF ANY PARTY.
FOLLOW US ON:
감사합니다 나병준 실장, bjna@kr.ibm.com

IBM 보안솔루션_보안관제탑, 큐레이더!

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to IBM 보안솔루션_보안관제탑, 큐레이더!

Similar to IBM 보안솔루션_보안관제탑, 큐레이더! (20)

More from 은옥 조

More from 은옥 조 (15)

IBM 보안솔루션_보안관제탑, 큐레이더!