Überblick

Diese IBM Security QRadar-Add-ons erweitern die Funktionen Ihrer SIEM-Lösung (Security Information and Event Management), indem sie Ihnen bessere Einblicke und eine proaktivere Rolle in Bezug auf die IT-Sicherheit Ihres Unternehmens ermöglichen.

IBM QRadar User Behavior Analytics

IBM QRadar Advisor with Watson

IBM QRadar Incident Forensics

IBM QRadar Data Store

IBM QRadar Data Synchronization App

Kundenreferenzen

Häufig gestellte Fragen

Wie wird Data Store so konfiguriert, dass zu speichernde Daten von zu analysierenden Daten getrennt werden?

Data Store wird mithilfe eines einfachen Erfassungsfilters in QRadar konfiguriert. Durch Auswahl der Datenquelle oder bestimmter Ereigniskriterien in der Datenquelle können Sie ganz einfach definieren, welche Daten direkt an Data Store gesendet werden sollen. Dieser Filter lässt sich jederzeit abändern und unmittelbar live stellen.

Verwenden die Anwendungen, die ich aus der App Exchange installiere, Daten von Data Store?

Manche ja, manche nein. Da die Daten von Data Store keine Analysen oder Korrelationen durchlaufen, können analysegesteuerte Anwendungen möglicherweise die mithilfe von Data Store erfassten Daten nicht vollständig nutzen. Alle anderen Funktionen wie Berichterstellung, Syntaxanalyse, kundendefinierte Eigenschaften und Dashboards sollten jedoch den Erwartungen entsprechend funktionieren.

Welche Version von QRadar ist für die Nutzung von Data Store erforderlich?

Die Kunden müssen QRadar 7.3.1 oder höher nutzen.

Welche Art von Geräten unterstützt die Data-Store-Funktion?

Bei Data Store handelt es sich um eine zusätzliche Lizenz-Ebene von QRadar. Diese nutzt die bestehenden Speicher- und Verarbeitungskapazitäten von Ereignisprozessoren und Datenknoten für die Erfassung, Verarbeitung und Speicherung der für Data Store identifizierten Daten. Es sind keine neuen Geräte erforderlich, jedoch können zusätzliche Datenknoten erworben werden, um die Anforderungen an die Datenspeicherung zu unterstützen.

Welche Funktionen von QRadar arbeiten mit den von Data Store erfassten Daten zusammen?

Data Store wird vorrangig für die Protokollverwaltung eingesetzt. Daher sind die Daten dieses Add-ons von Funktionen für die Korrelation und erweiterte Sicherheitsanalyse ausgeschlossen. Jedoch können die Daten von Data Store auch von den meisten anderen Funktionen wie beispielsweise Suche, Berichterstellung und Visualisierung verwendet werden, ebenso wie von individuellen Anwendungen, die im QRadar App Framework entwickelt wurden.

Lassen sich die mit Data Store erfassten Daten konvertieren und später für Sicherheits-Anwendungsfälle verwenden?

Daten von Data Store können nicht für historische Korrelationen verwendet werden. Jedoch lassen sich die Filterregeln, mit denen die Daten von Data Store von denen für das SIEM getrennt werden, einfach abändern. Sobald die Regeln aktualisiert sind, werden alle künftig erfassten Daten in sämtliche Analyse- und Korrelationsprozesse in QRadar aufgenommen.

Gibt es bestimmte Voraussetzungen für die Installation von User Behavior Analytics (UBA)?

Ja – bei Betrieb auf einer QRadar-Konsole erfordert die UBA-Anwendung mindestens 64 GB oder bis zu 128 GB Hauptspeicher. Zusätzlich sollten Sie die Bereitstellung eines Anwendungshosts in Betracht ziehen, um auf alle Vorteile der UBA-Anwendung in Verbindung mit der aktivierten Anwendung für das maschinelle Lernen zugreifen zu können.

Wie kommen die Daten meines Unternehmens zu UBA?

UBA integriert sich direkt in die QRadar Security Analytics Lösung und nutzt die bestehende Benutzerschnittstelle und Datenbank von QRadar. Dadurch können alle unternehmensweiten Sicherheitsdaten an einem zentralen Ort verbleiben und Analyseteams können Regeln anpassen, Berichte erzeugen und Daten verknüpfen, ohne ein neues System lernen zu müssen.

Integriert sich UBA in meine anderen Tools?

Weil UBA die gleiche zugrunde liegende Datenbank nutzt wie QRadar, können sämtliche Datenquellen, die in QRadar aufgenommen wurden, auch für UBA angezeigt und genutzt werden.

Wie sieht die UBA-Architektur aus?

UBA wird als Paket aus 3 Anwendungen angeboten: 1 LDAP-Anwendung für die Aufnahme und Verschmelzung der Identitätsinformationen der User, 1 UBA-Anwendung für die Visualisierung der Daten und Analysen sowie 1 Anwendung für das maschinelle Lernen, die eine Bibliothek aus ML-Algorithmen bereitstellt. Die Algorithmen dienen der Entwicklung von Verhaltensmodellen für User-Aktivitäten.

Was ist Anomalieerkennung?

Anomalieerkennung ist ein Verfahren für die Identifizierung ungewöhnlicher Muster, die nicht dem erwarteten Verhalten entsprechen und sich erheblich vom Großteil der Daten unterscheiden.

Was ist ein Risikoscore?

Ein Risikoscore ist ein numerisches Maß für die potenzielle Schädlichkeit der Aktivitäten von Usern. Jedes von UBA erkannte anomale Verhalten hat Einfluss auf den Risikoscore eines Users.

Wie lange dauert es, die Maschinenlernmodelle zu trainieren?

Die Machine-Learning-Algorithmen nehmen die Daten der letzten vier Wochen aus der gemeinsam genutzten QRadar-Datenbank auf und benötigen typischerweise zwischen 3 und 24 Stunden, um daraus Modelle für das normale Verhalten zu entwickeln.

Kann UBA auch in QRadar in der Cloud bereitgestellt werden?

Die UBA-Anwendung lässt sich in der On-Premises-Version von QRadar, in QRadar in der Cloud und in jedem IaaS- oder hybriden Deployment bereitstellen.

Wie viel kostet die UBA-Anwendung?

Die UBA-Anwendung wird Kunden von QRadar ohne Zusatzkosten angeboten.

An wen kann ich mich für Hilfe mit UBA wenden?

Der IBM Support verfügt über dedizierte Ressourcen, die bei Problemen hoher Priorität helfen können. Die UBA-Anwendung beinhaltet einen Hilfe- und Support-Bereich für die Nutzung der Anwendungen für LDAP, UBA und ML-Analysen.

Wie schützt IBM Benutzerinformationen in UBA?

Wie bei allen QRadar-Anwendungen und Modulen werden die ruhenden Daten verschlüsselt.