ݺߣ

ݺߣShare a Scribd company logo

IBM Qradar와 bigfix 연동이 제공하는 가치

유 김
유 김

IBM Qradar와 bigfix 연동이 제공하는 가치

1 of 6
Download to read offline
QRadar + BigFix 연동이 제공하는 가치
2 IBM Security BigFix + QRadar 연동 시나리오 기업내 주요자산(서버, PC, 노트북)에 설치된 BigFix agent는 패치레벨/취약점 정보를 수집 후 보안정책 위반여부를 모니터링하며, 이를 QRadar에 보고하여 위험도에 따른 조치를 수행하도록 합니다. STEP ONE 서버/OS 별 패치레벨, 구성정보를 제공 STEP FOUR 파악된 취약점, 위험에 대한 조치 수행 (패치 설치, 구성정보 변경) STEP TWO 서버/OS별 보안정책 준수 여부 모니터링 및 위반사항 보고 STEP THREE 취약점의 위험도에 따른 우선순위 설정 및 조치사항 제공 • Qradar를 활용한 자산 및 취약점에 대한 실시간 보안데이터 상관분석 • 우선순위 정보를 BigFix에 전송 • 서버명, OS, IP주소, 패치레벌 정보 수집 • 알려진 모든 CVE정보를 대상장비에 제공 • 조치 전까지 대상 장비를 격리 • 패치 및 구성정보 변경 IBM BigFix IBM BigFix IBM BigFix • BigFix가 취약점 및 패치정보를 Qradar에 보내면 자동으로 Qradar의 자산DB가 최신 정보로 업데이트됨 • 자산의 중요도별 취약점 파악
3 IBM Security Qradar + BigFIx 연동 시나리오 1.BigFix  QRadar (패치레벨, 보안정책 준수여부, 취약점정보, 구성파일변경등) – 주요파일의 변경, 취약점정보는 Qradar가 수집한 다른 보안이벤트와의 연관성, 상관분석을 통하여 잠재적 위협을 사전에 파악하고, 패치레벨은 QRadar Asset DB에 저장되어 자산의 리스크를 파악하고 필요한 조치를 지시 또는 보고함. 2.Qradar는 BigFix가 설치되지 않은 자산 목록을 생성하고, BigFix 설치 후 해결될 수 있는 보안 취약점 정보를 제시 – BigFix로 관리되지 않는 또는 설치가 우회된 자산을 신속히 파악하고, 보안정책 적용을 강제화 또는 필요한 조치가 수행될 수 있도록 함. 3. QRadar  BigFix (리스크가 높은 취약점 정보를 제공) – Qradar가 제공하는 위험도레벨에 따라 위험도가 높은 패치의 우선 적용 및 공지하고 이를 통하여 새롭게 출현하는 보안 위협에 대한 신속한 대응체계를 구현함. – 위험도가 높은 취약점을 가진 자산을 격리하여 추가적인 위협의 전파를 방지
4 IBM Security Qradar + BigFIx 연동 활용의 예 QRadar 활용 예시 BigFix가 제공하는 주요 가치 Advanced threat detection 실시간으로 주요자산(서버, PC등)의 패치정보, 취약점, 구성파일에 대한 가시성 제공 보안이벤트, 사고를 파악하기 위한 자산의 정보를 신속히 획득 신속한 대응 지원 (감염자산의 격리, 악용되는 DLL을 사용하지 못하게 함) Malicious activity identification 맬웨어로 부터 보호하며, POP3 이메일 및 MS Outlook 폴더 스캔 인지된 위협을 클라우드기반의 DB를 통해 체크 User activity monitoring 보안정책 강제화 (패스워드정책, 보안구성, 안티바이러스정책, 패치적용정책등) Compliance reporting and monitoring 보안정책 준수 보고서의 신속한 제공하여 조직의 보안준수 수준을 파악하도록 함. 보안정책 이행여부의 지속적인 모니터링 Fraud detection and data loss prevention 웹사이트이 안전성 여부를 판단하여 웹기반 악성코드, 데이터탈취로 부터 주요자산을 보호 다양한 채널을 통하여 데이터가 복제, 전송되는것을 허용 또는 차단
5 IBM Security IBM Qradar / QVM과 BigFix의 연동을 통해 어떻게 사고 전 보안 취약점을 예견하고, 대응 우선 순위를 결정하여 자산 위험도에 따른 패치를 실시간으로 설치합니다. 솔루션: QRadar/QVM 솔루션: BigFix 1 스캔을 수행하여 취약점을 획득합니다. Bigfix Agent Bigfix Agent Bigfix Agent 2 스캔 결과가 Bigfix로 전달됩니다. 3 스캔된 결과와 조치 Fixlet을 결합하여 대시보드에 표시합니다. (위험점수별 표시) 4 Fixlet 및 정책에 따라 패치 또는 액션을 수행합니다. (자동/수동) 5 액션 결과가 Bigfix를 통하여 QRadar/QVM에 전달되고 QRadar/QVM은 해당 자산에 대한 상태를 업데이트합니다. 취약점 발견 취약점 패치 운영 시나리오
ibm.com/security securityintelligence.com xforce.ibmcloud.com @ibmsecurity youtube/user/ibmsecuritysolutions © Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party. FOLLOW US ON: THANK YOU

More Related Content

IBM Qradar와 bigfix 연동이 제공하는 가치

  • 1. QRadar + BigFix 연동이 제공하는 가치
  • 2. 2 IBM Security BigFix + QRadar 연동 시나리오 기업내 주요자산(서버, PC, 노트북)에 설치된 BigFix agent는 패치레벨/취약점 정보를 수집 후 보안정책 위반여부를 모니터링하며, 이를 QRadar에 보고하여 위험도에 따른 조치를 수행하도록 합니다. STEP ONE 서버/OS 별 패치레벨, 구성정보를 제공 STEP FOUR 파악된 취약점, 위험에 대한 조치 수행 (패치 설치, 구성정보 변경) STEP TWO 서버/OS별 보안정책 준수 여부 모니터링 및 위반사항 보고 STEP THREE 취약점의 위험도에 따른 우선순위 설정 및 조치사항 제공 • Qradar를 활용한 자산 및 취약점에 대한 실시간 보안데이터 상관분석 • 우선순위 정보를 BigFix에 전송 • 서버명, OS, IP주소, 패치레벌 정보 수집 • 알려진 모든 CVE정보를 대상장비에 제공 • 조치 전까지 대상 장비를 격리 • 패치 및 구성정보 변경 IBM BigFix IBM BigFix IBM BigFix • BigFix가 취약점 및 패치정보를 Qradar에 보내면 자동으로 Qradar의 자산DB가 최신 정보로 업데이트됨 • 자산의 중요도별 취약점 파악
  • 3. 3 IBM Security Qradar + BigFIx 연동 시나리오 1.BigFix  QRadar (패치레벨, 보안정책 준수여부, 취약점정보, 구성파일변경등) – 주요파일의 변경, 취약점정보는 Qradar가 수집한 다른 보안이벤트와의 연관성, 상관분석을 통하여 잠재적 위협을 사전에 파악하고, 패치레벨은 QRadar Asset DB에 저장되어 자산의 리스크를 파악하고 필요한 조치를 지시 또는 보고함. 2.Qradar는 BigFix가 설치되지 않은 자산 목록을 생성하고, BigFix 설치 후 해결될 수 있는 보안 취약점 정보를 제시 – BigFix로 관리되지 않는 또는 설치가 우회된 자산을 신속히 파악하고, 보안정책 적용을 강제화 또는 필요한 조치가 수행될 수 있도록 함. 3. QRadar  BigFix (리스크가 높은 취약점 정보를 제공) – Qradar가 제공하는 위험도레벨에 따라 위험도가 높은 패치의 우선 적용 및 공지하고 이를 통하여 새롭게 출현하는 보안 위협에 대한 신속한 대응체계를 구현함. – 위험도가 높은 취약점을 가진 자산을 격리하여 추가적인 위협의 전파를 방지
  • 4. 4 IBM Security Qradar + BigFIx 연동 활용의 예 QRadar 활용 예시 BigFix가 제공하는 주요 가치 Advanced threat detection 실시간으로 주요자산(서버, PC등)의 패치정보, 취약점, 구성파일에 대한 가시성 제공 보안이벤트, 사고를 파악하기 위한 자산의 정보를 신속히 획득 신속한 대응 지원 (감염자산의 격리, 악용되는 DLL을 사용하지 못하게 함) Malicious activity identification 맬웨어로 부터 보호하며, POP3 이메일 및 MS Outlook 폴더 스캔 인지된 위협을 클라우드기반의 DB를 통해 체크 User activity monitoring 보안정책 강제화 (패스워드정책, 보안구성, 안티바이러스정책, 패치적용정책등) Compliance reporting and monitoring 보안정책 준수 보고서의 신속한 제공하여 조직의 보안준수 수준을 파악하도록 함. 보안정책 이행여부의 지속적인 모니터링 Fraud detection and data loss prevention 웹사이트이 안전성 여부를 판단하여 웹기반 악성코드, 데이터탈취로 부터 주요자산을 보호 다양한 채널을 통하여 데이터가 복제, 전송되는것을 허용 또는 차단
  • 5. 5 IBM Security IBM Qradar / QVM과 BigFix의 연동을 통해 어떻게 사고 전 보안 취약점을 예견하고, 대응 우선 순위를 결정하여 자산 위험도에 따른 패치를 실시간으로 설치합니다. 솔루션: QRadar/QVM 솔루션: BigFix 1 스캔을 수행하여 취약점을 획득합니다. Bigfix Agent Bigfix Agent Bigfix Agent 2 스캔 결과가 Bigfix로 전달됩니다. 3 스캔된 결과와 조치 Fixlet을 결합하여 대시보드에 표시합니다. (위험점수별 표시) 4 Fixlet 및 정책에 따라 패치 또는 액션을 수행합니다. (자동/수동) 5 액션 결과가 Bigfix를 통하여 QRadar/QVM에 전달되고 QRadar/QVM은 해당 자산에 대한 상태를 업데이트합니다. 취약점 발견 취약점 패치 운영 시나리오
  • 6. ibm.com/security securityintelligence.com xforce.ibmcloud.com @ibmsecurity youtube/user/ibmsecuritysolutions © Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party. FOLLOW US ON: THANK YOU