+48 22 439 03 20 biuro@greeneris.com
Zaznacz stronę

IBM Security QRadar


IBM Security QRadar to narzędzie do zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM) służące do gromadzenia i analizowania danych z różnego rodzaju systemów wykorzystując np. metody logowania (log/syslog).

IBM® Security QRadar SIEM opracowany przez IBM w celu zapewnienia 360-stopniowego przeglądu środowiska i otoczenia bezpieczeństwa organizacji. Platforma może wykrywać wykroczenia w zakresie bezpieczeństwa i zgłaszać je.

QRadar normalizuje zdarzenia pochodzące ze źródeł typu typu log i koreluje je zgodnie z  regułami skonfigurowanymi w QRadar. Aby prawidłowo wykrywać wykroczenia (takie jak próba kradzieży poufnych danych lub instalację złośliwego oprogramowania / oprogramowanie ransomware na komputerze pracownika), QRadar musi być odpowiednio dopracowany po jego wdrożeniu. Precyzyjne dostrojenie może zostać przeprowadzone przez wewnętrzny zespół ds. Bezpieczeństwa organizacji, jeśli posiada niezbędne kwalifikacje, lub przez konsultantów SIEM firm usługowych.

System gromadzi dane logowania z urządzeń firmy np. urządzeń sieciowych, systemów operacyjnych, aplikacji, skanuje w poszukiwaniu luk w zabezpieczeniach oraz monitoruje działania i zachowania użytkowników. IBM QRadar przeprowadza następnie analizę logów zdarzeń i przepływów sieciowych w czasie rzeczywistym, aby zidentyfikować szkodliwe działania, aby można je było szybko zatrzymać, zapobiegając lub minimalizując szkody, w które mogłyby spowodować w organizacji.

Wersje produktu

IBM QRadar SIEM można wdrożyć jako rozwiązanie sprzętowe, programowe lub wirtualne. Architektura produktu obejmuje procesory zdarzeń do gromadzenia, przechowywania i analizowania logów i kolektorów zdarzeń do przechwytywania i przesyłania danych. Produkt SIEM zawiera również procesory przepływu (ang. Flow processors) do zbierania przepływów sieciowych warstwy 4, procesory QFlow do przeprowadzania głębokiej inspekcji pakietów ruchu aplikacji warstwy 7 oraz scentralizowaną konsolę dla analityków działów Security Operations Center (SOC). Procesory przepływu oferują podobne możliwości do procesorów zdarzeń, ale są przeznaczone do przepływów sieciowych, a konsola jest do wykorzystania przez osoby podczas korzystania z SIEM lub zarządzania nim.

IBM QRadar SIEM

Podstawowy moduł platformy QRadar Security Intelligence, który umożliwia uzyskiwanie dokładnych danych analitycznych dotyczących zdarzeń bezpieczeństwa w czasie rzeczywistym. Rozwiązanie gromadzi, przetwarza i przechowuje dane z podłączonych źródeł logów w celu ich analizy i generowania wykroczeń na podstawie reguł korelacji po wykryciu zagrożenia bezpieczeństwa.

IBM QRadar Risk Manager

To osobno zainstalowane urządzenie wykorzystuje konfiguracje podłączonych urządzeń (zapory, routery, przełączniki itp.) W celu identyfikacji zagrożeń bezpieczeństwa, polityki i zgodności w sieci. Pomaga administratorom bezpieczeństwa oceniać i priorytetyzować zagrożenia bezpieczeństwa sieci.

IBM QRadar Vulnerability Manager

Moduł skanuje sieć w poszukiwaniu luk, a także wykorzystuje dane zebrane od innych skanerów (takich jak Nessus i Rapid7). Korzystając z zaawansowanych analiz, rozwiązanie przetwarza dane dotyczące podatności na zagrożenia, aby zidentyfikować zagrożenia bezpieczeństwa sieci. Poza tym IBM QRadar Vulnerability Manager przechowuje bazę danych luk, które mogą być dalej wykorzystywane w regułach korelacji i raportach IBM QRadar SIEM.

IBM QRadar Incident Forensics

Użyj tego modułu, aby odtworzyć działania potencjalnej osoby atakującej krok po kroku i przeprowadzić szczegółowe dochodzenie kryminalistyczne dotyczące szkodliwych incydentów bezpieczeństwa w ciągu kilku godzin lub nawet minut.

Dodatkowe możliwości bezpieczeństwa

Oprócz podstawowych funkcji SIEM, które zazwyczaj zapewniają produkty tego typu dla przedsiębiorstw, IBM QRadar SIEM oferuje również obsługę kanałów informacji o zagrożeniach. Opcjonalnie IBM QRadar SIEM może mieć zakupione rozszerzenie licencji, które umożliwia korzystanie z IBM Security X-Force Threat Intelligence, który identyfikuje adresy IP i adresy URL związane ze szkodliwą aktywnością w sieci. Dla każdego zidentyfikowanego adresu IP lub adresu URL kanał informacji o zagrożeniach zawiera ocenę zagrożenia i kategorię, które mogą pomóc organizacji lepiej przeanalizować i ustalić priorytety zagrożeń. IBM QRadar SIEM jest częścią platformy IBM QRadar Security Intelligence Platform, która zawiera moduły do ​​zarządzania ryzykiem, zarządzania lukami, analizy kryminalistycznej i reagowania na incydenty.

Możliwości raportowania

IBM QRadar zapewnia wsparcie dla kilku ważnych inicjatyw dotyczących raportowania zgodności, takich jak ustawa o przenośności i rozliczalności ubezpieczenia zdrowotnego (HIPAA) oraz standard bezpieczeństwa danych kart płatniczych (PCI DSS), ustawa Gramm-Leach-Bliley (GLBA), North American Electric Reliability Corporation (NERC) i Federal Energy Regulatory Commission (FERC), Sarbanes – Oxley (SOX) i inne. Produkt oferuje również kreator tworzenia raportów, dzięki czemu zespoły bezpieczeństwa mogą tworzyć niestandardowe raporty.

Licencjonowanie i ceny

Ponieważ IBM QRadar SIEM jest produktem modułowym z wieloma opcjami dla każdego komponentu, metryka opłat jest zwykle oparta na wykorzystaniu, takim jak zdarzenia źródła dziennika na sekundę i przepływy sieciowe na minutę . Organizacje zainteresowane lepszym zrozumieniem opcji mogą uzyskać najnowsze informacje o cenach dla wszystkich dostępnych licencji IBM QRadar SIEM.

Podsumowanie IBM Security QRadar SIEM

IBM QRadar SIEM oferuje modułowe rozwiązanie, które można skalować w celu spełnienia wymagań logowania zdarzeń i monitorowania przepływów w sieci oraz zapewnienia potrzeb analizy większości organizacji. Dodatkowe, zintegrowane moduły do ​​zarządzania ryzykiem i podatnością na zagrożenia, analiza kryminalistyczna przechwytywania pakietów oraz reakcja na incydent tzw. SOAR (z niedawnej akwizycji firmy Resilient Systems) są również dostępne jako opcje. IBM QRadar SIEM obsługuje również IBM X-Force Threat Intelligence i inne źródła informacji o zagrożeniach innych firm za pośrednictwem STIX i TAXI, aby poprawić wykrywanie zagrożeń.

Skontaktuj się z nami: biuro@greeneris.com | tel. +48 22 439 03 20
lub napisz poprzez formularz kontaktowy