보안

QRadar

SIEM

 IBM QRadar SIEM을 통한 사용자 행동 분석
내부자 위협에 대한 가시성을 높이고, 비정상적인 행동을 발견하고, 위험한 사용자를 신속하게 식별하고, 의미 있는 인사이트를 생성하세요.
QRadar SIEM 데모 예약하기
사무실에서 화이트보드에 글을 쓰는 사람
손상된 자격 증명, 수평 이동 및 기타 악의적인 행동 탐지

IBM QRadar SIEM 사용자 행동 분석(UBA)은 직원의 행동 패턴에 대한 기준선을 설정하여 조직에 대한 위협을 더 잘 탐지할 수 있도록 합니다. QRadar SIEM의 기존 데이터를 사용하여 사용자 및 위험에 대한 새로운 인사이트를 생성합니다.

네트워크 내부 사용자에 대한 위험 프로필을 설정하면 신원 도용, 해킹, 피싱, 멀웨어 등 의심스러운 활동에 더 신속하게 대응할 수 있습니다.
UBA에 대해 자세히 보기
UBA로 내부자 위협 탐지하기
한 명의 직원이 링크를 클릭하거나 자격 증명을 제공하거나 첨부 파일을 여는 것만으로도 모든 정보가 유출될 수 있습니다. 스테파니 “스노우” 카루더스 최고 인력 해커 IBM X-Force Red
피싱 등으로부터 보호하는 UBA

정상적인 사용자 행동과 비정상적인 행동을 구분하여 위협 차단

41%

네트워크 감염의 41%는 피싱으로 인해 발생합니다.1

 >50%

피싱 공격의 50% 이상이 스피어 피싱 기법을 사용합니다.2

 100%

X-Force® 위협 탐지 소프트웨어에서 관찰한 결과, 위협 하이재킹 시도가 매월 100% 증가했습니다.3
작동 방식

2년 연속 피싱은 공격자가 누군가를 사칭하여 기존 이메일 대화를 악의적인 목적으로 사용하는 주요 감염 경로였습니다. 사용자의 정상적인 행동을 이해하고 이상 징후를 빠르게 발견하는 것은 감염을 막는 데 매우 중요합니다. 사용자 가져오기 마법사를 사용하여 사용자를 추가하고 위험 점수 및 통합 사용자 ID를 UBA를 사용하여 QRadar SIEM에 추가할 수 있습니다.

 사용자 가져오기 마법사 

사용자 가져오기 마법사를 사용하면 UBA 앱에서 직접 사용자 및 사용자 데이터를 가져올 수 있습니다. 사용자 가져오기 마법사를 사용하면 LDAP 서버, Active Directory 서버, 참조 테이블 및 CSV 파일에서 사용자를 가져올 수 있습니다. 사용자 가져오기 마법사를 사용하여 사용자 지정 속성을 만들 수도 있습니다.

 위험 점수 

인시던트의 심각도와 신뢰도에 따라, 그리고 QRadar 시스템의 기존 이벤트 및 흐름 데이터를 사용하여 다양한 보안 사용 사례에 위험을 할당하여 위험 프로필을 생성하세요. 위험 프로필은 사용자가 유해하거나 손상된 웹사이트를 방문하는 경우와 같은 간단한 규칙에 의존하거나 머신 러닝을 사용하는 상태 저장 분석을 포함할 수 있습니다.  

 통합된 사용자 ID 

QRadar 사용자에 대해 서로 다른 계정을 결합하여 통합 사용자 ID를 구축하세요. Active Directory, LDAP, 참조 테이블 또는 CSV 파일에서 데이터를 가져오면 UBA 앱이 각 사용자에게 어떤 계정이 속해 있는지 학습할 수 있습니다. 또한 UBA 앱의 여러 사용자 이름에 걸쳐 위험 및 트래픽 데이터를 결합하여 사용자 행동을 더 잘 모니터링하고 공격을 방지할 수 있습니다.  
포함된 내용
머신 러닝 애드온

UBA 앱을 강화하는 머신 러닝 애드온으로 시계열 프로파일링 및 클러스터링을 수행하여 사용 사례를 풍부하고 심도 있게 만들 수 있습니다. 머신 러닝은 학습된 동작(모델), 현재 동작 및 경고를 표시하는 기존 UBA 앱 시각화에 추가됩니다. 머신 러닝은 QRadar의 과거 데이터를 사용하여 사용자에게 정상에 대한 예측 모델과 기준선을 만듭니다.  

 머신 러닝 분석에 대해 알아보기
규칙 및 튜닝

UBA 규칙 콘텐츠는 앱이 구성된 후 설치되며 QRadar 사용 Case Manager 앱에서 편집할 수 있습니다. 사용자 위험을 측정하는 규칙이 UBA 규칙 데이터 테이블에 추가됩니다. UBA 규칙 및 튜닝 기능을 사용하면 회사와 데이터를 보호하는 데 사용할 QRadar SIEM 매개 변수를 결정할 수 있습니다.

 규칙 및 튜닝 살펴보기

자주 묻는 질문

예. QRadar SIEM 콘솔에서 실행하는 경우, UBA 앱에는 최소 64GB 또는 최대 128GB의 메모리가 필요합니다. 또한, 머신 러닝 앱이 활성화된 상태에서 UBA 앱 실행의 모든 이점을 활용하려면 QRadar SIEM 앱 호스트를 배포하는 것도 고려하세요.

UBA는 기존 사용자 인터페이스와 데이터베이스를 사용하여 QRadar SIEM에 직접 통합됩니다. 전사적인 모든 보안 데이터는 하나의 중앙 위치에 유지되며 분석가는 SIEM 환경의 일부로 규칙을 조정하고, 보고서를 생성하고, 데이터를 연결할 수 있습니다.

UBA는 QRadar SIEM 및 NDR과 동일한 기본 데이터베이스를 공유하기 때문에 QRadar SIEM에서 수집한 모든 데이터 소스를 UBA에서 표면화하여 활용할 수 있습니다.

UBA는 사용자의 신원 정보를 수집하고 통합하는 데 도움이 되는 LDAP 앱, 데이터 및 분석을 시각화하는 데 도움이 되는 UBA 앱, 사용자 활동의 행동 모델을 만드는 데 사용되는 기계 학습 알고리즘 라이브러리를 제공하는 기계 학습 앱의 3가지 앱 모음으로 패키징되어 있습니다.

이상 징후 탐지는 정상적인 동작과 일치하지 않고 대부분의 데이터와 크게 다른 비정상적인 패턴을 식별하는 데 사용되는 기술입니다. UBA는 사용자 및 유사한 사용자(피어)의 이벤트에서 정상적인 행동의 기준선을 구축한 다음 이 기준선을 사용하여 비정상적인 행동을 탐지합니다.

위험 점수는 사용자 활동의 잠재적 유해성을 수치로 측정한 것입니다. UBA가 탐지하는 각 비정상적인 행동은 개별 사용자의 위험 점수에 영향을 미칩니다.

위험 점수는 사용자 활동의 잠재적 유해성을 수치로 측정한 것입니다. UBA가 탐지하는 각 비정상적인 행동은 개별 사용자의 위험 점수에 영향을 미칩니다.

설치 시 머신 러닝 알고리즘은 QRadar 데이터베이스에서 지난 4주간의 데이터를 수집하며, 정상적인 사용자 행동의 기준 모델을 구축하는 데 최대 1주일이 소요될 수 있습니다.

UBA 앱은 IBM Security® QRadar® SaaS, 소프트웨어 또는 클라우드 배포에 배포할 수 있습니다.

UBA 앱은 QRadar 고객에게 추가 비용 없이 제공됩니다.

모든 QRadar 애플리케이션 및 모듈과 마찬가지로 데이터는 미사용 시 암호화됩니다.
문서

내부자 위협으로부터 귀중한 데이터와 자산을 보호하는 데 QRadar SIEM UBA 앱이 어떻게 도움이 되는지에 대한 추가 문서를 살펴보세요.

QRadar SIEM 사용자 행동 분석(UBA) 기술 문서 보기 
다음 단계로 넘어가기

사용자 행동 분석 도구가 사이버 위협으로부터 회사를 보호하는 방법을 알아보려면 QRadar SIEM 데모 요청을 통해 시작하세요.

데모 요청하기
다른 탐색 방법 문서 지원 커뮤니티 파트너 리소스