2021-12-22 / Blog, IT biztonság, Microsoft / ,

Fejlett fenyegetésérzékelés az IBM QRadar Sense Analytics engine segítségével

Egy Platform. Egységes. Átlátható.

Intelligens. Gyors. Pontos.

IBM QRadar Security Intelligence Platform

Az IBM QRadar termékcsaládja évek óta a vezető termék a Gartner Security Information and Event Management (SIEM) riportjában. Az IBM QRadar Security Intelligence platform a más gyártóknál korábban különálló funkciókat – beleértve a log menedzsment, SIEM, hálózati viselkedés elemzés (Network Behavior Analytics), biztonsági eseménykezelés (Security Event Management), kockázat és sebezhetőség menedzsment (Risk and Vulnerability Management) területeket – létrehozva ezáltal egy egységes, intelligens és automatizált biztonsági intelligencia megoldást.

Az eredmény egy egyedülálló, „egy-konzolos” biztonsági intelligencia megoldás, amely a következőket biztosítja a biztonsági szakértők számára:

  • Olyan támadásokat fedezzenek fel, amelyeket más megoldásokkal nem lenne lehetséges
  • Konszolidálják az adatsilókat
  • Cégen belüli visszaéléseket tárjanak fel
  • Üzletmenetet érintő biztonsági kockázatokat értékeljenek ki
  • A törvényi és egyéb kötelezettségeknek, szabályozásoknak folyamatosan megfeleljenek (pl.: ISO27001, PCI-DSS, HIPAA, SOX, 2013. évi L. törvény, 41/2015. (VII. 15.) BM rendelet)

A QRadar biztonsági intelligencia megoldás a teljes infrastruktúrát átöleli azzal, hogy adatokat fogad az alábbi eszközökből és ezeken valósi dejű korrelációt végez. Leggyakrabban az alábbi eszközök által generált napló, esemény vagy konfigurációs információ képzi az elemzés alapját: szerverek (fizikai és virtuális), tartományvezérlők, gyári és egyedi fejlesztésű alkalmazások, levelezési rendszer, csoportmunka támogató rendszerek, kliens számítógépek, rendszer menedzsment megoldások, meglévő biztonsági eszközök (tűzfal, vírusirtó, IPS/IDS stb.), web szerverek, identifikációs megoldások, hálózati eszközök, felhőalapú megoldások.

Az IBM QRadar legfőbb erősségei

Automatizált: Egyszerű és gyors bevezetés, valamint üzemeltetés

  • A többi piaci szereplő termékeivel összehasonlítva az implementáció ideje, összetettsége és költsége egyszerűbb és kedvezőbb, hatékonyabban tervezhető
  • Az adatforrások automatikus konfigurálása
  • Gyárilag beállított szabályok és jelentések (később testreszabhatók)
  • Sebezhetőségek és támadások automatikus frissítése

Integrált: az egyetlen megoldás a piacon, amely egy platformon valósítja meg a következő 6 fő funkciót: flow, packets, vulnerabilites, configurations, logs, events

Intelligens: valós idejű analízis akár egy másodperc alatt beömlő sok millió adat teljes tartalmára

Az IBM QRadar termékcsaládja

Az IBM QRadar az alábbi komponensekből áll:

LOG

IBM Security QRadar Log Manager:
Nagy teljesítményű rendszer a biztonsági eseménynaplók gyűjtésére, elemzésére, archiválására és a nagy mennyiségű biztonsági és hálózati eseménynapló tárolására.

SIEM

IBM Security QRadar SIEM:
Naplóforrások eseményadatait összesíti. A nyers adatokon azonnali normalizálási és korrelációs műveleteket végez, ezáltal képes megkülönböztetni a valódi fenyegetéseket a téves riasztásoktól.

RISK

IBM Security QRadar Risk Manager:
Hálózati topológia, switch, router, tűzfal, IPS konfigurációk montitorozása, kockázat csökkentése és megfelelőség növelése.

VM

IBM Security QRadar Vulnerability Manager:
Megelőző jelleggel deríti fel a hálózati eszközök és alkalmazások biztonsági sebezhetőségét, valamint támogatja a helyreállítási és kárenyhítési tevékenységeket.

QNI

IBM Security QRadar QFlow for network and application activity monitoring:
QRadar SIEM-mel és a Flow processzorokkal együtt használva biztosítja a hálózatok Layer 7 szintű, alkalmazási réteget érintő átláthatóságát és adatfolyam analízisét.

Flow

IBM Security QRadar VFlow for virtual activity monitoring:
QRadar SIEM-mel együtt használva biztosítja a virtuális hálózatok Layer 7 szintű, alkalmazási réteget érintő átláthatóságát.

IF

IBM Security QRadar Incident Forensics:
Segítségével visszakövethető egy potenciális támadás lépései, és mélyreható security vizsgálatot végez a gyanús, rosszindulatú hálózatbiztonsági eseményekkel kapcsolatban. Csökkenti a kivizsgálási időt és megakadályozza, hogy az IT hálózati biztonság megsértése újra megtörténjen.

Kiforrott és automatikus korreláció

A QRadarban egy minden igényt kielégítő korrelációs motor van több mint 1600 előre definiált szabállyal. Ezek általában az ügyfelek által megvalósítani kívánt korrelációs szabályok 80-95%-át lefedik. Ezen szabálykészlet terjedelme egyedülálló a piacon.

Egy teljesen testreszabható és könnyen kezelhető egyedi szabály varázsló is rendelkezésre áll, amelynek segítségével a felhasználók szerkeszthetik az alapértelmezett szabályokat vagy elkészíthetik a sajátjukat. Több száz kiértékelési parancs és függvény használható az egyedi szabályok készítésekor. A QRadar továbbá támogatja az építőkockák (building block) használatát, melyek segítségével gyakran használt kiértékeléseket vagy információkat (IP címek csoportja, portok, szervertípusok, felhasználónevek, eseménytípusok) építhetünk egy eljárásba, amely később könnyen felhasználható, amikor egy új szabályt készítünk.

További gyártó- vagy use case specifikus korrelációs szabályok, valamint alkalmazások és Threat Intelligence Feed tartalmak integrálhatóak a QRadar rendszerbe az IBM App Exchange, valamint az IBM X-Force Exchange megoldásaival, melyek segítségével kiterjeszthetjük a fenyegetésérzékelést, továbbá még részletesebb rálátást kapunk rendszerünk állapotára.

Jelentések készítése

A QRadarban egy fejlett jelentéskészítő motor található, melynek segítségével a felhasználók gyorsan és egyszerűen tudnak egyedi riportokat futtatni a számukra legfontosabb kritikus eszközökre vonatkozóan. Riport készíthető a hálózat tetszőleges részéről és minden adatról, amelyet a QRadar összegyűjt. Az összes iparági szabályzatnak megfelelő megfelelőségi riport is futtatható.

A QRadarban gyárilag több ezer előre csomagolt riport található, amelyek lefedik a teljes szervezetet, vagy csak kijelölt területre fókuszálnak. Ezen standard riportok egyedi grafikonokat tartalmaznak mind vezetői, mind pedig üzemeltetői munkatársak számára. A riport varázsló segít a jelentések elkészítésében, ütemezésében és disztributálásában mindenféle gyakran használt formátumban (XML, HTML, CSV). Azért, hogy az egyedi jelentés készítés egyszerűbb legyen, minden elmentett keresés direkt hivatkozható a riport sablonból.

Jövőbeli irányok

Az IBM QRadar Security Intelligence megoldásának átfogó értéke abban rejlik, hogy képes a hálózatról származó információt összekötni azokkal az adatokkal, amelyek a vállalati infrastruktúra egyéb részeiről származnak. Ennek során összegyűjti, analizálja és korrelálja a rendszerek széles spektrumát, mint például hálózati eszközök, biztonsági rendszerek, szerverek, munkaállomások, operációs rendszerek és alkalmazások teljes tárházát. Ennek az eredményeként egy értelmezhető kontextusba helyezi a biztonsági szakértőket, mindamellett, hogy radikálisan csökkenti az üzemeltetés komplexitását.

A QRadar további fejlesztésének köszönhetően a Watson Advisor automatizálja a biztonsági incidensek felderítését, így a biztonsági elemzőknek lehetőséget ad kifinomult fenyegetések azonosítására és megértésére akár percek, vagy még rövidebb idő alatt. Ez a technológia jelenleg egyedülálló a piacon, mely hozzá járul többek között az IBM QRadar platform piacvezető szerepének megőrzéséhez. Az IBM QRadar 2009 óta vezető a Gartner Magic Quadrant – SIEM elemzésében.

  • Automatizált és mélyreható elemzéssel felgyorsítja az események osztályozását
  • Csökkenti a fel nem fedezett fenyegetések kockázatát
  • Optimalizálja az incidenskezelési folyamatokat átfogó fenyegetés-információkkal és adatokkal

Segítünk bevezetni a napjaink legmodernebb IT biztonsági megoldásait, forduljon hozzánk bizalommal!

Kapcsolat

Leave a Comment

Az e-mail-címet nem tesszük közzé.

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

Scroll to Top