Puntos destacados del dispositivo

Desande paso a paso las acciones de los criminales cibernéticos

IBM® QRadar® Incident Forensics reduce el tiempo necesario para investigar y responder a incidentes de seguridad. Se usa fácilmente y requiere de una capacitación mínima, lo que permite que equipos de seguridad de TI investiguen incidentes de seguridad de una forma rápida y eficiente. Sus capacidades de recopilación de datos van más allá de los eventos del registro y de los flujos de la red para incluir capturas de paquetes enteros además de documentos y elementos almacenados digitalmente. Ayuda a brindar contexto y visibilidad sobre los quién, qué, cuándo, dónde y cómo de un ataque.

Reconstruya datos y eventos relacionados con un incidente de seguridad

Incluye pivote de datos, para descubrir las relaciones de la red que están implicadas en un incidente. Crea índices utilizando los metadatos de la red y del archivo, y el contenido útil de los datos de la captura de paquetes (PCAP), lo que incluye el texto de páginas web y de documentos. Ayuda a que los analistas filtren los resultados de búsquedas para incluir solo los paquetes que están asociados con una infracción específica de QRadar, ayudándoles a localizar el tráfico malicioso de una forma rápida y fácil. Habilita las pruebas para ataques que han sido identificados por feeds de inteligencia de amenazas de Internet, como IBM X-Force®.

Se integra con IBM QRadar Security Intelligence Platform

Utiliza la interfaz de usuario de consola única de QRadar con una capacidad de integración mediante un clic, para rellenar una solicitud de búsqueda de captura de paquetes. Incluye herramientas interactivas para visualizar y analizar más profundamente relaciones extendidas, identidades de impresiones digitales basadas en direcciones IP o MAC, email, chat y redes sociales.

Habilite la colaboración y la gestión de la prevención de amenazas

Permita el acceso de IBM Security App Exchange.

¿Cómo lo usan los clientes?

  • Desande los pasos de los cibercriminales

    Problema

    Discierna qué actividad sospechosa es verdaderamente relevante para un incidente.

    Solución

    Identifique las acciones de criminales cibernéticos para conseguir insights profundos del impacto de una intrusión, y ayude a prevenir que vuelva a ocurrir.

  • Reconstruya los datos de un ataque de seguridad

    Reconstruya los datos de un ataque de seguridad

    Problema

    Determinación de la amplitud total de un incidente de seguridad.

    Solución

    Compile perfiles de evidencia de incidentes de seguridad para resolución. Recree los datos que están implicados en un incidente de seguridad para obtener una vista paso a paso y detallada de la infracción. Simplifique el proceso de consulta con una interfaz como un motor de búsqueda en Internet.

  • Ahorre tiempo y reduzca costos

    Problema

    Las técnicas forenses han sido manuales, requerido de herramientas especializadas y necesitado de habilidades técnicas especializadas.

    Solución

    Los equipos de seguridad de TI pueden realizar investigaciones forenses completas de una forma fácil y rápida, y pueden obtener visibilidad de los detalles que están detrás de una brecha de seguridad, sin necesidad de habilidades ni capacitación especiales.

  • Aproveche la infraestructura existente

    Problema

    Tener que usar sistemas y herramientas dispares y esperando que encuentre una conexión para la ofensa.

    Solución

    De manera opcional use la infraestructura PCAP existente o adquiera nuevos sistemas dedicados para QRadar Incident Forensics.

Detalles técnicos

Requisitos de software

Para obtener información acerca de la compatibilidad del hardware y del software, vea los requisitos detallados del sistema en la Guía de Instalación de IBM Security QRadar Incident Forensics.

    Requisitos de hardware

    QRadar® Incident Forensics está disponible como dispositivo de hardware, software o virtual. Asegúrese de que tiene acceso a los siguientes componentes de hardware:

    Suministro Ininterrumpido de Energía (UPS) para todos los sistemas que almacenan datos, como QRadar Console, los componentes de Event Processor o los componentes de QRadar QFlow Collector; Cable de módem nulo si quiere conectar el sistema a una consola de serie.

    Los productos de QRadar soportan implementaciones de Matrices Redundantes de Discos Independientes (RAID) basadas en hardware, pero no soportan las instalaciones de RAID basadas en software.

    • Monitor y teclado, o una consola en serie

    Especificaciones técnicas

    OS: Red Hat Enterprise Linux (RHEL) Server 6. Requisito previo: IBM Security QRadar SIEM 7.2.2 y fix packs futuros

    QRadar Incident Forensics está integrado en IBM QRadar Security Intelligence Platform. Para las instalaciones distribuidas, ahora puede añadir un dispositivo QRadar Incident Forensics (IBM Security QRadar Incident Forensics Processor) a un dispositivo de QRadar como host gestionado.

    Ya no hay un nodo primario ni secundario de QRadar Incident Forensics. Todos los procesadores de QRadar Incident Forensics son gestionados por la consola de QRadar.