Visão geral

Estes complementos do IBM Security QRadar aprimoram as funcionalidades da sua solução SIEM (gerenciamento de informações e eventos de segurança) ao possibilitarem melhores insights e um papel mais proativo na segurança de TI da sua organização.

IBM QRadar User Behavior Analytics

IBM QRadar Advisor with Watson

IBM QRadar Incident Forensics

IBM QRadar Data Store

IBM QRadar Data Synchronization App

Casos de clientes

Perguntas frequentes

Como o Data Store é configurado para separar dados de armazenamento de dados de análise?

O Data Store é configurado usando um filtro simples de coleção no QRadar. Ao selecionar a fonte de dados ou os critérios de eventos a partir da fonte de dados, você pode facilmente definir os dados que são mandados diretamente para o Data Store. Este filtro pode ser alterado a qualquer momento e colocado em proteção imediatamente.

Os aplicativos que eu instalo no App Exchange usam dados do Data Store?

Alguns sim, outros não. Como os dados do Data Store não passam por análise ou correlação, os aplicativos acionados por dados podem não conseguir usar plenamente os dados coletados com o Data Store. Todos os demais recursos, como relatórios, análise sintática, propriedades customizadas e dashboards, devem funcionar como esperado.

Qual versão do QRadar é necessária para usar o Data Store?

Os clientes precisam usar o QRadar 7.3.1 ou superior.

Que tipo de dispositivos dão suporte à funcionalidade do Data Store?

O Data Store é uma sobreposição de licenciamento do QRadar que usa o armazenamento e a capacidade de processamento presentes nos processadores de eventos e nós de dados para coletar, processar e armazenar os dados identificados para o Data Store. Não são necessários novos dispositivos, mas podem ser adquiridos nós de dados adicionais para dar conta das necessidades de armazenamento de dados.

Quais recursos do QRadar trabalharão com os dados coletados no Data Store?

O Data Store é usado principalmente para gerenciamento de logs. Portanto, seus dados são excluídos das funcionalidades de correlação e de análise avançada de dados de segurança. Porém, os dados do Data Store podem ser usados pela maioria das funcionalidades, como pesquisa, relatório e visualização, assim como com aplicativos customizados construídos usando o QRadar App Framework.

Os dados coletados com o Data Store podem ser convertidos e usados posteriormente em casos de uso de segurança?

Os dados do Data Store não podem ser usados para correlação histórica. No entanto, a política de filtragem que separa os dados do Data Store dos dados do SIEM pode ser alterada facilmente. Assim que a política for atualizada, todos os dados coletados futuramente serão incluídos em todos os processos de correlação e análise de dados no âmbito do QRadar.

Existem pré-requisitos para instalar o User Behavior Analytics (UBA)?

Sim. Se executado em um console do QRadar, o aplicativo UBA requer o mínimo de 64 GB ou até 128 GB de memória. Além disso, considere implantar um host de aplicativo para ter acesso a todos os benefícios de executar o aplicativo UBA com o aplicativo de aprendizado de máquina habilitado.

Como insiro os dados da minha organização no UBA?

O UBA se integra diretamente à solução QRadar Security Analytics, aproveitando a interface de usuário e o banco de dados já presentes no QRadar. Todos os dados de segurança no âmbito da empresa podem permanecer em uma localização central, e os analistas podem ajustar regras, gerar relatórios e conectar dados sem a necessidade de aprender um novo sistema.

O UBA se integra a outras de minhas ferramentas?

Como o UBA compartilha o mesmo banco de dados subjacente do QRadar, toda fonte de dados ingerida no QRadar pode ser obtida e aproveitada para o UBA.

O que é a arquitetura do UBA?

O pacote UBA é uma coleção de três aplicativos, um aplicativo LDAP para ingestão e união de informações de identidade do usuário, um aplicativo UBA para visualizar dados e análises de dados e um aplicativo de aprendizado de máquina que fornece uma biblioteca de algoritmos de aprendizado de máquina para criar modelos comportamentais das atividades do usuário.

O que é detecção de anomalia?

A detecção de anomalia é uma técnica usada para identificar padrões incomuns que não se enquadram no comportamento esperado e diferem significativamente da maioria dos dados.

O que é pontuação de risco?

Pontuação de risco é a medida numérica do potencial nocivo da atividade de um usuário. Cada comportamento suspeito detectado pelo UBA impacta a pontuação de risco de um indivíduo.

Quanto tempo leva para treinar os modelos de aprendizado de máquina?

Os algoritmos de aprendizado de máquina ingerem as quatro últimas semanas de dados do banco de dados compartilhado do QRadar, e geralmente levam de 3 a 24 horas para desenvolver modelos de comportamento normal.

O UBA pode ser implantado no QRadar em nuvem?

O aplicativo UBA pode ser implementado no QRadar local, em nuvem ou com qualquer implementação híbrida ou de IaaS.

Quanto custa o aplicativo UBA?

O aplicativo UBA é oferecido aos clientes do QRadar sem custo adicional.

Como obtenho ajuda com o UBA?

O suporte da IBM tem colaboradores dedicados para ajudar com problemas de alta prioridade. O aplicativo UBA inclui uma seção de ajuda e suporte sobre como usar os aplicativos LDAP, UBA e de aprendizado de máquina.

Como a IBM protege as informações do usuário no UBA?

Assim como nos aplicativos e módulos do QRadar, os dados em repouso são criptografados.