• 검색 결과가 없습니다.

QRadar SIEM 소개문서 FDX Networks

N/A
N/A
Protected

Academic year: 2022

Share "QRadar SIEM 소개문서 FDX Networks"

Copied!
25
0
0

로드 중.... (전체 텍스트 보기)

전체 글

(1)

2019. 12

QRadar SIEM 소개문서

FDX Networks

(2)

QRadar SIEM 소개문서

FDX Networks

(3)
(4)
(5)

5

다양한 모듈을 통한 기능 확대

분산 구조를 통한 수집 성능의 확장 중.소규모 로그수집 위한

AllinOne 구조

• QRadar SIEM은 로그 뿐 아니라, 플로우, 풀 패킷, 취약점, 네트워크 리스크 매니저 (QRM) 등의 정보를 SIEM에서 통합하여 보여주기 위해 다양한 모듈을 제공하고 있다.

• 분산형 구조를 통해 다양하게 확장 시킬 수 있다.

• 수집은 병렬로 확장할 수 있다.

• EP, FP하나당 수집 한계:

EP: 40,000EPS, FP: 2,400,000 FPM

(24core, 128GB ram, 7.2k rpm Disk)

• AllinOne에서는 로그수집, 플로우 수집, 웹GUI의 제공을 하나의 서버에서 제공합니다..

• 수집의 한계 15,000EPS, 300,000FPM

(24core, 128GB ram, 7.2k rpm Disk) EPS: Event Per Second

Log Flow Log Flow

QRadar AllinOne

QRadar ConSole

QRadar EventProcessor QRadar FlowProcessor

QRadar DataNode QRadar Incident Forensic

QRadar APPHOST QRadar Risk Manager

QRadar Vulnerability Manager

붉은 글씨는 약어로 쓰이는 부분

(6)

Event Collector Event Processor

물리적 별도 IDC구간에서 로그를 수집하고자 할 때 사용 (로그 저장하지 않음)

EC를 포함, 로그 수집과 저장 분석을 하는 모듈

Flow Collector

Flow Processor

EC처럼 별도 구간에 설치 하는 경우가 있으며 데이터를 저장하지 않습니다.

FC를 포함, Flow를 처리 저장 분석하는 모듈로

설정 값에 따라 패킷 헤더 일부분을 잘라 저장 합니다.

QRadar Network Insights

FC와 비슷한 형태이지만, 정의된 정규화를 지원하며 패킷의 유형을 분류하고 YARA 룰을 반영할 수 있습니다.

Console

WEB-GUI를 제공하며 All-in-One과 Console은 같은 구조입니다.

검색 요청, 룰의 생성 등의 GUI를 제공 합니다.

APPHOST

IBM X-force Exchange의 APP확장 기능을 설치하기 위한 별도의

서버 입니다. (UBA, Watson, Rule, 대시보드 등) 과거에는 APP NODE라고 불리며, centos를 설치하여 연결할 수 있었으나, 현재는 QRadar이미지를 통해 설치 진행 합니다.

DataNode

EP, FP에 대한 데이터 저장공간의 확장을 위해 제공되며, RAID0의 형태와 유사하게 데이터를 분할 저장하여 검색속도를 높입니다. (EP, FP와 연결됩니다.

QRadar Network Packet Capture

QNPC는 플로우 수집과는 다르게 전체 패킷에 대하여 수집 저장 합니다.

QRadar Incident Forensic

QNPC에 수집된 패킷을 복원하거나, 파싱 하여 보여주는 역할을 수행합니다.

QRadar Risk Manager

네트워크 장비의 Rule내역 인터페이스 설정 정보 등을 가져와 네트워크 망을 표현해줍니다.

과거에는 QRM, QVM 별도로 구분하였으나 QVM라이선스 구매 시 QRM을 일부 무료로 사용할 수 있다. (단. 하드웨어는 별도 준비가 필요하다)

QRadar Vulnerability Manager

취약점 스캐너 모듈로 QRadar SIEM과 통합 합니다.

QRadar 없이 QVM만 단독 구성도 가능합니다.

로그 수집 플로우 수집 플패킷 캡처 리스크 매니저 취약점 스캔

스토리지 확장

QRadar 콘솔 APP확장 기능

(7)

7

Gartner 평가 Leader. 솔루션 (2009년 ~ 현재) 모니터링, 프로파일링, 데이터분석, 로그관리, 리포팅 Category TOP RANK

하나의 솔루션을 통한 보안 로그, 네트워크, 취약점, 자산 정보 등의 통합적인 분석을 제공하는 폭 넓은 확장성 실시간 상관관계 분석 및 이상 행위 탐지 기능을 위한 성능, 안정성, 호환성 등이 이미 검증된 솔루션

Global 적인 아이디어에 대한 기능 추가 및 관제를 통해 수집된 블랙리스트 목록을 지속적으로 제공

지속적 보안 트랜드를 연구하여 결과를 토대로 지속적인

Rule 및 조건 템플릿 업데이트 제공

(8)

DSM 가이드 와 자동 연동 확인

DSM 가이드

DSM: Device Support Module 자동 연동(True)

조건 검색 필터 (선택 방식과 쿼리 방식)

글로벌 보안 제품의 경우 SYSLOG전송 시 자동으로 제품을 인식하고 등록 하며 정규화 합니다.

이러한 기능을 통해 사용자는 유지보수 시에도 손쉽게 제품을 연동 할 수 있습니다.

사용자가 정의해둔 로그 포맷으로도 DSM을 지원하도록 설정할 수 있습니다. (ex: SNIPER IPS 수동 연동 후 자동 인식 되도록 지원)

룰 마법사 편집 화면

(9)

9

보안 솔루션만을 개발하는 업체가 아닌 글로벌SIEM업체 중 유일하게 글로벌 관제센터와 연구소 운영과 다양한 분석들을 통해 Intelligence 제공 하고 있습니다.

QRadar SIEM을 사용하는 사용자를 위해 무료로 IBM X-FORCE 에서 제공하는 intelligence 정보를 사용할 수 있으며, 이를 확인할 수 있는 웹 사이트를 운영하고 있습니다.

보안 연구조직 IBM X-FORCE 확장기능의 지원 APP Exchange

QRadar SIEM은 다양한 부가 기능 지원을 위해 APP Exchange 사이트를 운영하고 있으며 이를 통해 다양한 대시보드, 룰, UBA등을 다운로드 받아 사용할 수 있습니다.

APP의 설치는 사용자도 손쉽게 설치 할 수 있도록 GUI에서 클릭하는

방식으로 설치되어지며, 가상환경을 설정하여 설치되기 때문에

SIEM의 기능에 영향을 미치지 않습니다.

(10)
(11)
(12)

로그 검색 필터 추가

컬럼을 선택하고 값을 입력 AQL이라는 쿼리를 통해 검색

(13)

13 특성 추출

테스트 할 원본 로그

임의의 컬럼 명

정규 표현식 사용

추출한 컬럼

로그 원본을 보면서 정규표현식으로 사용자 정의 컬럼을 생성할 수 있도록

지원하고 있습니다.

정규표현식을 통한 사용자 정의 컬럼 생성

(14)

클릭만으로 Group by 검색

클릭만으로, 최근15분, 소스IP Group by 결과 생성

(15)

15

로그 검색에서 저장 후 대시보드 아이템으로 사용

대시보드의 자유로운 구성

(16)

룰의 설정 (카테고리의 정의)

룰 마법사의 룰 설정 화면

탐지된 오펜스 화면

상세 로그 확인

(17)

17

위반 시나리오 리스트 포함된

이벤트 수 클릭 시 원본

로그 조회

이벤트 TOP5 정보 (공격자, 목적지, 카테고리)

오펜스(ALERT)라는 화면을 통해 특정 공격자가 어떠한 위협 행위를 했는지를 하나로 보여주는 방식으로 상관 분석 룰을 설정하지 않아도 자동적으로 상관분석형태로 보여지며, 오펜스(ALERT)를 발생시킨 기반 로그를 바로 검색하여 확인할 수 있습니다.

오펜스 (ALERT) 화면을 통한 상관관계 분석

(18)

QRadar는 기본 대시보드만으로도 다양한 대시보드를 사용자 그룹별로 구성할 수 있습니다.

(검색 필터 기반의 대시보드)

확장 기능인 Pulse APP을 통해 좀더 고급 대시보드를 구성할 수 있습니다.

(AQL 쿼리 기반의 대시보드)

* AQL은 SQL형식의 쿼리 문장입니다.

기본 대시보드 확장 APP 대시보드 PULSE

(19)

19 탐지된 내용을 Watson 에서 자동 분석

하도록 설정하거나 수동으로 분석요청 합니다.

분석에 대한 상세 내역을 확인하면 위협요소들과 탐지 상황을

확인할 수 있습니다.

로그에 남겨진 정보들과 Watson이 학습한 데이터간 연결 내용을 그래프화 하여

표현합니다.

Watson은 인터넷 환경에서 다양한 형태의 위협정보를 지속적으로 학습하고, QRadar APP을 통해 내부 로그 정보에 학습된 위협 정보와의 연관 관계를 표현해 주는 분석 도구의 역할을 수행 합니다.

QRadar Advisor with Watson

(20)

User Behavior Analytics for QRadar

사용자 별 위험 점수를 전체 대시보드를 통해 확인 할 수 있습니다.

특정 사용자 상세화면에서는 어떠한 이벤트가 발생했는지, 어떤 점이 머신 러닝을 통해 이상하다고 보여졌는지를

나타냅니다.

(21)

21

(22)

연동 후 이벤트 이름으로 Group by

(23)
(24)
(25)

참조

관련 문서

상기 신입생 장학금 외에도 본교는 신입생장학금-재학생장학금-해외연수장학금-대학원진학장학금에 이르는 전주기 장학제도를 운영하고 있으며, 다양한 교외장학금

Nikon 액세서리 이외의 제품을 사용할 경우 카메라가 손상될 수 있으며 Nikon 의 보증을 받지 못할 수도 있습니다.. A

자기소개서는 원서접수 사이트를 통해 온라인으로 입력/제출바랍니다.... 자기소개서는 원서접수 사이트를 통해

다양한 음악적 경험을 통해 유아는 스스로 음악적 개념이나 구조를 발견하거나 이해할 수 있으며 이와 같은 경험은 자연스럽게

이를 융합활동을 통해 학습의 흥미를 느끼게하고 다양한 활용방 법에 대한 시도를 통해서 학습의 부담감을 줄이기 위해

우리 생활에 다양한 스마트 제품 사례를 통해 스마트 디자인이 어떤 방식으로 적용될 수 있는 지를 살펴보고, 스마트 새집에 사용할 센서의 기능과 전자회로에

이후 우리 생 활에서 발생하는 다양한 문제를 살펴보고 이를 데이터를 통해 해결하는 방법을 탐색하여 데이터의 중요성과 편리함을 이해할 수 있도록 하였다..

한국과학창의재단의 지원을 받아