보안 QRadar SIEM IBM QRadar SIEM을 통한 사용자 행동 분석
내부 위협 가시성 향상, 비정상적인 행동 감지, 신속한 위험사용자 식별뿐만 아니라 통찰력 있는 인사이트 생성으로 보안을 강화합니다.
QRadar SIEM 데모 예약하기 UEBA의 가을 G2 Grid 보고서 확인
사무실에서 화이트보드에 글씨를 쓰고 있는 사람
손상된 인증 정보, 측면 이동 및 기타 악의적인 동작 탐지

IBM QRadar SIEM 사용자 행동 분석(UBA)을 통해 직원의 행동 패턴에 대한 기준선을 설정하여 조직에 대한 위협을 더 효과적으로 탐지할 수 있도록 지원합니다. 또한 기존 QRadar SIEM 데이터를 활용하여 사용자 및 리스크에 대한 새로운 인사이트를 제공합니다.

네트워크 내부 사용자에 대한 위험성 프로파일을 설정하면 ID 도용, 해킹, 피싱 또는 악성코드 등 의심스러운 활동에 보다 신속하게 대응할 수 있습니다.

UBA에 대해 자세히 알아보기

UBA로 내부자 위협 탐지

직원 한 명이 링크를 클릭하거나 자격 증명을 제공하거나 첨부 파일을 열어보는 것만으로 공격에 완전히 노출될 수 있습니다. Stephanie “Snow” Carruthers 최고 피플 해커 IBM X-Force Red
피싱 등으로부터 보호하는 UBA

사용자의 정상 행동과 이상 행동 구분을 통한 위협 차단

41%

네트워크 감염의 41%는 피싱으로 인해 발생합니다.1

>50%

피싱 공격의 50% 이상이 스피어 피싱 기법을 사용하고 있습니다.2

100%

X-Force 위협 탐지 소프트웨어에서 관찰된 위협 하이재킹 시도가 매월 100% 증가했습니다.3

작동 방식

피싱은 2년 연속으로 공격자가 타인을 사칭하여 기존 이메일 대화를 악의적인 목적으로 사용하는 가장 일반적인 감염 벡터였습니다. 정상적인 사용자 행동 패턴 분석을 바탕으로 이상 징후를 신속하게 감지하여 감염을 차단하는 것이 중요합니다. 사용자 가져오기 마법사를 사용하여 사용자를 추가하고, UBA를 사용하여 위험 점수 및 통합 사용자 ID를 QRadar SIEM에 추가할 수 있습니다.

사용자 가져오기 마법사 

사용자 가져오기 마법사를 사용하면 UBA 앱에서 직접 사용자 및 사용자 데이터를 가져올 수 있으며 LDAP 서버, 활성 디렉토리 서버, 참조 테이블 및 CSV 파일에서 사용자를 가져올 수 있습니다. 마법사를 통해 사용자 지정 속성을 만들 수도 있습니다.

위험 점수 

인시던트의 심각도와 신뢰성에 따라 다른 보안 사용 사례에 위험을 지정하고 QRadar 시스템의 기존 이벤트 및 플로우 데이터를 사용하여 리스크 프로파일을 생성합니다. 리스크 프로파일은 악의적이거나 손상된 웹 사이트 방문과 같은 간단한 사례나 머신 러닝을 통한 상태 분석을 기반으로 생성됩니다.  

사용자 ID 통합 

QRadar에서는 서로 다른 계정을 결합하여 사용자 ID를 통합할 수 있습니다. UBA 앱은 Active Directory, LDAP, 참조 테이블 또는 CSV 파일에서 가져온 데이터로 각 계정 학습이 가능하며, 여러 사용자 ID 대한 위험도와 트래픽 데이터를 통합하여 사용자 행동 모니터링을 개선하고 공격을 방지할 수 있습니다.  

구성 항목
머신 러닝 추가 기능

UBA 앱을 보강하는 머신 러닝 추가 기능으로 시계열 분석 및 그룹화를 수행하여 더욱 심도 있는 사용 사례를 생성할 수 있습니다. 머신 러닝은 학습된 행동(모델), 현재 행동 및 경고를 표시하는 기존 UBA 앱 시각화에 추가됩니다. 머신 러닝은 QRadar의 히스토리 데이터를 사용하여 사용자에게 정상적인 예측 모델과 기준선을 만듭니다. 

머신 러닝 분석 알아보기

규칙 및 튜닝

UBA 규칙 콘텐츠는 앱이 구성된 후 설치되며 QRadar 사용 사례 관리자 앱에서 편집할 수 있습니다. 사용자 위험을 측정하는 규칙이 UBA 규칙 데이터 테이블에 추가됩니다. UBA 규칙 및 튜닝 기능으로 QRadar SIEM이 사용할 매개 변수를 지정할 수 있어 기업과 데이터를 보호할 수 있습니다.

규칙 및 튜닝 살펴보기

자주 묻는 질문

그렇습니다. QRadar SIEM 콘솔을 통해 실행하고 있는 경우 UBA 앱에는 최소 64GB 또는 최대 128GB의 메모리가 필요합니다. 머신 러닝 앱이 활성화된 상태에서 UBA 앱 실행 시 최대한의 이점을 얻을 수 있도록 QRadar SIEM 앱 호스트를 배치하는 것이 좋습니다.

UBA는 기존 사용자 인터페이스와 데이터베이스를 사용하여 QRadar SIEM에 직접적으로 통합됩니다. 전사적 보안 데이터는 한 곳에 모두 보관되며, 분석가는 SIEM 솔루션을 하여 규칙 수정, 보고서 생성 및 데이터를 연결할 수 있습니다.

UBA는 QRadar SIEM 및 NDR과 동일한 기본 데이터베이스를 공유하기 때문에 QRadar SIEM을 통해 수집된 모든 데이터 소스를 UBA에 표시하고 활용할 수 있습니다.

UBA는 3개의 앱, 즉 사용자 ID 정보의 수집과 통합하는 데 도움되는 LDAP 앱, 데이터·분석의 시각화를 지원하는 UBA 앱, 행동 모델 생성에 사용되는 머신 러닝 알고리즘 라이브러리를 제공하는 머신 러닝 앱의 모음으로 구성됩니다.

이상 징후 탐지는 정상적인 행동과 상이하고 대부분의 데이터와 확연히 구별되는 이상 행동을 식별하는 기술입니다. UBA는 사용자 및 유사한 사용자(피어)의 이벤트에서 정상적인 행동의 기준선을 구축한 다음, 이 기준선을 사용하여 비정상적인 행동을 감지합니다.

위험 점수는 사용자 활동에 있어서 잠재적인 유해성을 수치로 측정한 것입니다. UBA로 감지한 각각의 비정상적인 행동은 개별 사용자의 위험 점수에 영향을 줍니다.

위험 점수는 사용자 활동에 있어서 잠재적인 유해성을 수치로 측정한 것입니다. UBA로 감지한 각각의 비정상적인 행동은 개별 사용자의 위험 점수에 영향을 줍니다.

설치 시 머신 러닝 알고리즘은 QRadar 데이터베이스를 통해 지난 4주 동안의 데이터를 수집하며, 사용자의 정상적인 행동 기준을 구축하는 데 최대 1주일이 소요될 수 있습니다.

UBA 앱은 IBM Security QRadar SaaS, 소프트웨어 또는 클라우드 배포에 배포할 수 있습니다.

UBA 앱은 추가 비용 없이 QRadar 클라이언트에게 제공됩니다.

모든 QRadar 애플리케이션 및 모듈과 마찬가지로, 데이터는 저장 시 암호화 처리됩니다.

문서

QRadar SIEM UBA 앱을 통해 내부자 위협으로부터 중요한 데이터와 자산을 보호하는 방법에 대한 추가 문서를 살펴보세요.

QRadar SIEM 사용자 행동 분석(UBA) 기술 문서 보기 
다음 단계 안내

QRadar SIEM 데모를 요청하여 사용자 행동 분석 도구가 사이버 위협으로부터 회사를 보호하는 방법을 알아보세요.

데모 요청
더 살펴보기 문서 지원 커뮤니티 파트너 리소스