A parceria com outras organizações de cibersegurança e detecção de ameaças melhora a cobertura do IBM QRadar SIEM e expande a utilidade do QRadar SIEM para clientes que utilizam ferramentas variadas e diversas. Se sua equipe já utiliza uma ferramenta de detecção de ameaças ou de cibersegurança, o IBM QRadar SIEM pode ser capaz de integrá-la para expandir sua cobertura de forma integrada e considerável.
A Amazon Web Services oferece uma variedade de soluções para proteger seu ambiente nativo, incluindo identidade e acesso, detecção, proteção de rede e aplicações, proteção de dados e conformidade.
A Check Point Software Technologies é uma fornecedora líder em soluções de segurança cibernética para governos e corporações em todo o mundo. As soluções da empresa protegem os clientes contra ciberataques com uma das maiores taxas de captura do setor de malware, ransomware e outros tipos de ataques.
A Google Cloud acelera a capacidade de as organizações transformarem digitalmente seus negócios. A IBM oferece soluções de nível corporativo que aproveitam a tecnologia de ponta do Google, tudo na nuvem mais limpa do setor.
A Microsoft viabiliza a transformação digital para a era da nuvem inteligente e da edge inteligente. A missão da empresa é preparar cada pessoa e cada organização do planeta para alcançar mais resultados.
A Palo Alto Networks, líder global em cibersegurança, está moldando o futuro centrado na nuvem e transformando a maneira como as pessoas e as organizações operam. O Prisma Cloud Compute Edition é um software para download que você pode operar para manter a custódia de seus dados conteinerizados. Com um arquivo plug-in compatível com o módulo de suporte de dispositivo (DSM), o QRadar recebe registros do Prisma Cloud Compute para alertas sobre eventos.
A Trend Micro possibilita que você proteja a sua organização contra ameaças, detecte possíveis problemas de segurança e responda a incidentes mais rápido com inteligência conectada nos ambientes de usuário, servidor, nuvem e rede. Aplicando uma combinação entre gerações de técnicas de defesa contra ameaças otimizadas para a infraestrutura de TI, as ofertas possibilitam a resiliência da cibersegurança na sua jornada de transformação digital.
Wiz é uma ferramenta de segurança de infraestrutura de nuvem sem agente que oferece a avaliação de risco contextual e a priorização de alertas de segurança mais detalhadas do setor. O aplicativo da Wiz para o QRadar SIEM oferece às organizações a possibilidade de definir o Wiz como origem do log do QRadar SIEM e fazer pul dos problemas detectados pela Wiz para a plataforma QRadar SIEM, para maiores investigações e para integração aos fluxos de trabalho de segurança.
Com sua premiada tecnologia em cibersegurança, a Bitdefender protege milhões de consumidores e empresas em todo o mundo. O aplicativo Bitdefender para QRadar SIEM, integrando os recursos da plataforma GravityZone, oferece aos administradores uma ferramenta poderosa para realizar pesquisas complexas, correlações cruzadas entre vários tipos e origens de eventos e atividades de caça a ameaças.
A tecnologia Cylance alimenta a cibersegurança do BlackBerry, oferecendo aos clientes segurança de endpoints, que detecta o malware de forma proativa e impede a ocorrência de ciberataques.
A VMware Carbon Black é uma das principais fornecedoras da nova geração de segurança de endpoints. Ela utiliza sua plataforma de nuvem de big data e análise de dados para consolidar a prevenção, detecção, resposta, caça a ameaças e serviços gerenciados em uma única plataforma, com um único agente e console.
A plataforma CrowdStrike Falcon utiliza indicadores em tempo real de ataques, inteligência de ameaças, evolução das técnicas dos adversários e melhor telemetria de toda a empresa para proporcionar detecção hiperprecisa, proteção e correção automáticas, caça a ameaças de elite e priorização da observabilidade das vulnerabilidades.
A Cybereason é uma plataforma de proteção de endpoint que oferece prevenção, detecção e resposta em várias camadas, além de monitoramento ativo de endpoints. Com o aplicativo Cybereason os usuários podem utilizar o poder da plataforma de proteção Cybereason dentro do QRadar, para ter detecção avançada e melhor contexto sobre operações maliciosas em um painel único.
A Microsoft viabiliza a transformação digital para a era da nuvem inteligente e da edge inteligente. A missão da empresa é preparar cada pessoa e cada organização do planeta para alcançar mais resultados.
A Palo Alto Networks, líder global em cibersegurança, está moldando o futuro centrado na nuvem e transformando a maneira como pessoas e organizações operam. O Prisma Cloud Compute Edition é um software para download que você pode operar para manter a custódia de seus dados conteinerizados. Com um arquivo plug-in compatível com o módulo de suporte de dispositivo (DSM), o QRadar recebe registros do Prisma Cloud Compute para alertas sobre eventos.
O SentinelOne oferece prevenção, detecção, resposta e caça a ameaças com tecnologia de IA em endpoints, contêineres, cargas de trabalho em nuvem e dispositivos de IoT em uma única plataforma. Oferece integração bidirecional de SIEM para geração de relatórios sobre ameaças a ações. O módulo de suporte de dispositivo (DSM) do SentinelOne captura a saída de syslog do SentinelOne como origem do log para o QRadar.
A Symantec protege a geração de nuvem por meio de sua plataforma integrada de defesa cibernética, o portfólio mais completo do setor para proteção de ambientes locais e na nuvem e isso ajuda as empresas a aproveitar a computação em nuvem sem comprometer a segurança de pessoas, dados, aplicações e infraestrutura que conduzem seus negócios.
A Tanium é uma plataforma de segurança e unified endpoint management testada e comprovada nas organizações tecnicamente mais exigentes do mundo. O aplicativo Tanium para QRadar possibilita o envio de dados do Tanium para o QRadar pelo módulo Tanium Connect e conta com o recurso do clique com o botão direito do mouse para procurar endereços IP no Tanium diretamente do registro de atividades do QRadar.
A plataforma aberta e nativa para detecção e resposta estendida (XDR) Trellix ajuda as organizações a enfrentarem as ameaças mais avançadas da atualidade. A Trellix, em conjunto com um amplo ecossistema de parceiros, acelera a inovação tecnológica por meio do aprendizado de máquina e automação para conferir poderes a mais de 40 mil clientes corporativos e governamentais com segurança ativa.
A Trend Micro possibilita que você proteja a sua organização contra ameaças, detecte possíveis problemas de segurança e responda a incidentes mais rápido com inteligência conectada nos ambientes de usuário, servidor, nuvem e rede. Aplicando uma combinação entre gerações de técnicas de defesa contra ameaças otimizadas para a infraestrutura de TI, as ofertas possibilitam a resiliência da cibersegurança na sua jornada de transformação digital.
O Virsec protege as aplicações e sistemas mais importantes do mundo de dentro para fora, impedindo ataques cibernéticos na carga de trabalho de qualquer aplicação. A Virsec aumenta a detecção e resposta do SIEM do QRadar proporcionando um novo nível de precisão e velocidade no tempo de execução em um painel único.
A Delinea é uma das principais fornecedoras de soluções de gerenciamento de acesso privilegiado (PAM) que descomplicam a segurança para a empresa híbrida moderna. As soluções da empresa confere poderes às organizações para proteção de dados críticos, dispositivos, código e infraestrutura de nuvem para ajudar a reduzir os riscos, garantir conformidade e simplificar a segurança.
A Wallix é uma empresa europeia especializada em governança de contas privilegiadas. O Bastion ajuda os usuários a proteger seus ativos críticos de TI. O Bastion disponibiliza feeds de dados para o QRadar SIEM de forma a proporcionar visibilidade em tempo real aos administradores quando há detecção e priorização de alertas. O QRadar SIEM consolida os eventos de log e dados de fluxo de rede de dispositivos, endpoints e aplicativos.
A plataforma Armis encontra e protege todos os dispositivos. É a única plataforma criada especificamente para lidar com seus dispositivos gerenciados e com o novo cenário de ameaças ocultas de endpoints não gerenciados, IoT, TO/SCI, dispositivos médicos, entre outros, que as ferramentas tradicionais de TI e de segurança geralmente não detectam.
A Cylera é uma empresa de inteligência e cibersegurança de IoT para o setor de saúde e ciências da vida. A plataforma Cylera gera alertas com contexto avançado relacionados a identidades de dispositivos de IoT, vulnerabilidade e status de correções, variação de risco e atividade maliciosa. O DSM da Cylera possibilita que o QRadar ingira, analise e entenda as mensagens enviadas pela Cylera.
A Nozomi Networks oferece soluções de visibilidade em tempo real para gerenciar o risco cibernético e aumentar a resiliência das operações industriais. Juntas, IBM Security e Nozomi Networks atendem à crescente demanda por serviços e soluções de cibersegurança de TI/TO perfeitas, proporcionando às organizações industriais globais uma solução totalmente integrada para grande visibilidade da rede de TO e detecção contínua de ameaças.
A Algosec é fornecedora de soluções de gerenciamento de segurança voltadas para negócios com as quais as organizações podem alinhar as estratégias comerciais e de segurança enquanto gerenciam a segurança de sua rede, ajudando-as a ganhar agilidade, segurança e compatibilidade.
A Check Point Software Technologies é uma fornecedora líder em soluções de segurança cibernética para governos e corporações em todo o mundo. As soluções da empresa protegem os clientes contra ciberataques com uma das maiores taxas de captura de malware, ransomware e outros tipos de ataques do setor.
Os produtos de segurança da Cisco oferecem segurança de rede eficaz, resposta a incidentes e maior produtividade da TI por meio da automação. A Cisco e a IBM Security oferecem segurança eficaz na forma de soluções integradas, serviços gerenciados e inteligência de ameaças compartilhadas.
O Darktrace Enterprise Immune System aprende os "padrões de vida" normais para descobrir e conter ameaças cibernéticas imprevisíveis. Com a integração ao QRadar, a Darktrace pode compartilhar perfeitamente suas detecções de IA para correlação e análise do recebimento de dados.
A combinação do QRadar com a EndaceProbe Analytics Platform possibilita que os analistas de segurança alternem os alertas no QRadar para dados de pacotes relevantes, o que agiliza a filtragem e reduz drasticamente o tempo de investigação. O EndaceProbe pode hospedar aplicações de análise de dados de rede de terceiros além de gravar simultaneamente um histórico de rede com 100% de precisão com busca e armazenamento em escala sem precedentes.
O ExtraHop é líder em detecção e resposta de redes nativas da nuvem. O poder combinado de detecção e resposta de rede e dados históricos de logs é fundamental para qualquer equipe de segurança. Potencialize o QRadar com detecções de ameaças de transmissão do ExtraHop Reveal(x).
A solução Flowmon cria um ambiente digital seguro e transparente onde as pessoas controlam a rede, independentemente de sua complexidade e natureza. O Flowmon é uma solução de análise de tráfego de rede que se integra ao QRadar para melhorar a detecção precoce das ameaças. Ele ajuda a priorizar os eventos entendendo o escopo e o impacto e reduz o tempo de resolução para evitar danos graves.
A Forescout Technologies é líder em visibilidade e controle de dispositivos. As soluções integradas da Forescout e da IBM Security ajudam a reforçar de maneira contínua a conformidade do endpoint, oferecer insights contextuais detalhados e acelerar a detecção, priorização e resposta a incidentes.
A Fortinet é uma das principais fornecedoras globais de dispositivos de segurança de rede para operadoras, data centers, empresas e escritórios distribuídos. A IBM e a Fortinet oferecem compartilhamento conjunto de inteligência contra ameaças, integração de SIEM ao QRadar, gerenciamento de endpoints e desenvolvimento contínuo de estratégias integradas de defesa em profundidade, que podem abranger perfeitamente toda a superfície de ataque da organização.
A Gigamon ajuda as organizações a reduzir a complexidade e aumentar a eficiência da stack de segurança. Com a integração à GigaSECURE Security Delivery Platform da Gigamon, o IBM QRadar SIEM pode detectar ameaças que outras soluções costumam não perceber em meio ao ruído de milhões de eventos, além de ajudar a garantir a conformidade com a política e com a regulamentação e a minimizar os riscos para os serviços, dados e ativos essenciais.
A Illumio Adaptive Security Platform (ASP) oferece visibilidade sobre o tráfego em tempo real e aplicação de microssegmentação para evitar a difusão das violações dentro do data center e de ambientes de nuvem. O Illumio ASP integra sem dificuldades os eventos de segurança ao IBM QRadar SIEM para simplificar as operações, automatizar as respostas às ameaças mais críticas e aumentar a segurança.
A Palo Alto Networks, líder global em cibersegurança, está moldando o futuro centrado na nuvem e transformando a maneira como as pessoas e as organizações operam. O Prisma Cloud Compute Edition é um software para download que você pode operar para manter a custódia de seus dados conteinerizados. Com um arquivo plug-in compatível com o módulo de suporte de dispositivo (DSM), o QRadar recebe registros do Prisma Cloud Compute para alertas sobre eventos.
A New Net Technologies é uma das principais fornecedoras de soluções corporativas de segurança e conformidade de TI. A solução integrada IBM Security and NNT oferece correlação de segurança sem precedentes para monitoramento da integridade dos arquivos, controle de alterações e gerenciamento de configuração na plataforma de relatórios e dados forenses do QRadar.
A Security Scorecard é a líder global em classificações de cibersegurança, com mais de 12 milhões de empresas classificadas de forma constante. A tecnologia de classificação patenteada da Security Scorecard é utilizada por mais de 30 mil organizações para gerenciamento de riscos corporativos, gerenciamento de riscos de terceiros, relatórios para a diretoria, devida diligência, subscrição de seguro cibernético e supervisão regulatória.
A Varonis é pioneira em segurança e análise de dados, especializando-se em software para segurança de dados, governança, conformidade, classificação e análise de dados de ameaças. O aplicativo da Varonis para QRadar possibilita que os clientes da Varonis e da IBM aumentem a segurança dos seus dados, aperfeiçoem a detecção de ameaças e simplifiquem as investigações.
Os produtos de segurança da Cisco oferecem segurança de rede eficaz, resposta a incidentes e maior produtividade da TI por meio da automação. A Cisco e a IBM Security oferecem segurança eficaz na forma de soluções integradas, serviços gerenciados e inteligência de ameaças compartilhadas.
A Everbridge é uma empresa global de software que oferece aplicativos de software corporativo que automatizam e aceleram a resposta operacional da organização a eventos críticos de TI, a fim de manter os negócios em funcionamento.
A Holm Security está na vanguarda do cenário de cibersegurança, especializando-se em gerenciamento de vulnerabilidades de última geração (VMP). O compromisso da Holm Security com a proteção contra cibercriminosos faz dela uma referência para o futuro do gerenciamento de vulnerabilidades.
A Proofpoint, Inc. é uma empresa líder em cibersegurança que protege o maior ativo e os maiores riscos das organizações: seu pessoal.
A Picus Security permite que as equipes de SOC verifiquem a configuração de detecção simulando ataques reais ao ambiente da empresa. Ela ajuda a identificar problemas de geração e coleta de logs, revelar lacunas não detectadas e otimizar regras de detecção. Ao mobilizar milhares de cenários de ataque reais, a Picus desafia as regras do QRadar, mapeia a cobertura de log e detecção para MITRE ATT&CK e oferece regras prontas para uso para eliminar essas lacunas.
Os dados contam uma história e a Polarity ajuda você a vê-la com realidade aumentada, sobrepondo informações contextuais enquanto você trabalha para ter consciência e memória sobre-humanas dos dados. A Polarity pesquisa ios, hashes, domínios e e-mails para recuperar informações associadas do IBM QRadar.
O QLean (anteriormente conhecido como Health Check Framework ou HCF, agora com fácil instalação) é uma das ferramentas mais avançadas para automação e ajuste da verificação de funcionamento do QRadar. Ele oferece uma maneira fácil e rápida de ver o funcionamento geral da implementação do QRadar, ajustar e otimizar seu desempenho e economizar tempo na manutenção.
A Qualys, Inc. é pioneira e líder no fornecimento de soluções revolucionárias de segurança, conformidade e TI baseadas na nuvem, com mais de 10 mil clientes assinantes em todo o mundo, inclusive a maioria das empresas da Forbes Global 100 e Fortune 100. A Qualys ajuda as organizações a simplificar e a automatizar suas soluções de segurança e conformidade em uma única plataforma para maior agilidade, melhores resultados de negócios e grande economia de custos.
A Splunk Inc. ajuda organizações de todo o mundo a transformar dados em ações. A tecnologia da Splunk foi projetada para investigar, monitorar, analisar e agir sobre os dados em qualquer escala.
A Tenable é uma empresa de gerenciamento de exposição. Cerca de 43 mil organizações em todo o mundo utilizam a Tenable para entender e reduzir o risco cibernético. As integrações da Tenable com o QRadar e QVM combinam insights de exposição cibernética da Tenable com os recursos de consolidação de fluxo e log do QRadar para permitir que os usuários correlacionem melhor os eventos, tomem medidas sobre falhas e atendam aos padrões de conformidade.
A ThreatConnect Inc. oferece um pacote de produtos projetado para atender às necessidades de agregação, análise, automação e orquestração de inteligência de ameaças de equipes de segurança de qualquer tamanho. Essa integração com o Resilient é uma série de aplicativos de playbooks que permitem que os usuários criem incidentes automaticamente e recuperem artefatos no Resilient diretamente no ThreatConnect.
A Anomali automatiza a detecção e priorização das ameaças mais graves à sua organização e promove uma postura de segurança mais proativa com insights da inteligência de ameaças cibernéticas.
Os produtos de segurança da Cisco oferecem segurança de rede eficaz, resposta a incidentes e maior produtividade da TI por meio da automação. A Cisco e a IBM Security oferecem segurança eficaz na forma de soluções integradas, serviços gerenciados e inteligência de ameaças compartilhadas.
A plataforma CrowdStrike Falcon utiliza indicadores em tempo real de ataques, inteligência de ameaças, evolução das técnicas dos adversários e melhor telemetria de toda a empresa para proporcionar detecção hiperprecisa, proteção e correção automáticas, caça a ameaças de elite e priorização da observabilidade das vulnerabilidades.
A Digital Shadows minimiza o risco digital identificando a exposição indesejada e protegendo contra ameaças externas. Otimize o processamento de incidentes e correlacione informações de várias fontes para proteger-se contra riscos digitais.
A DomainTools ajuda os analistas de segurança a transformar dados sobre ameaças em inteligência de ameaças. Ela pega indicadores da sua rede e os conecta com quase todos os domínios ativos na internet. O DomainTools integra-se ao IBM QRadar para ajudar os analistas de segurança a transformar dados de ameaças em inteligência de ameaças, proporcionando às empresas a capacidade de avaliar e detectar futuras ameaças.
A EclecticIQ oferece cibersegurança com base em inteligência para organizações governamentais e empresas comerciais. Ela desenvolve produtos centrados em analistas que alinham o foco da cibersegurança dos clientes com a realidade das ameaças. E eles integram totalmente suas soluções aos controles e sistemas de segurança de TI dos clientes.
A Flashpoint é líder global confiável em inteligência de risco para a cobertura mais rápida e abrangente de atividades ameaçadoras na internet. Esta integração extrai insights e contexto de comunidades online ilícitas e dados técnicos. Ela proporciona priorização, personalização e colaboração para aumentar a eficácia da segurança e a eficiência das operações e do gerenciamento das ameaças.
A Mandiant ajuda as organizações a desenvolver programas eficazes de cibersegurança que incutem confiança na preparação delas para se defender e responder a ameaças. Quando consumidos por uma instância do QRadar, esses indicadores são tratados como conjuntos de referência do QRadar e podem ser utilizados em fluxos de trabalho de pesquisa, correlação, relatórios e visualização da mesma maneira que outros dados.
A Recorded Future oferece recursos construídos previamente e personalizados que os usuários do QRadar podem utilizar para levar inteligência de ameaças em tempo real para o centro de operações de segurança. Por meio do recurso do clique com o botão direito do mouse do QRadar, os analistas podem acessar os cartões de inteligência em tempo real que incluem endereço IP, domínio, hash de arquivo e pontuações de risco de vulnerabilidade.
A Stormshield oferece soluções de segurança para prever ataques, protegendo infraestruturas críticas, administrações públicas e agências de defesa. Com a parceria com as soluções da IBM Security, a Stormshield oferece aos administradores de TI e analistas SOC visibilidade clara sobre a rede e uma solução de defesa eficaz.
O ThreatQuotient prepara as equipes de segurança disponibilizando o contexto, a personalização e a priorização necessários para tomar melhores decisões, acelerar a detecção e a resposta e promover a colaboração da equipe. A combinação do IBM Security com a ThreatQuotient possibilita que as equipes de segurança trabalhem com mais eficiência e reduzam o tempo médio de detecção e resposta.
Os produtos de segurança da Cisco oferecem segurança de rede eficaz, resposta a incidentes e maior produtividade da TI por meio da automação. A Cisco e a IBM Security oferecem segurança eficaz na forma de soluções integradas, serviços gerenciados e inteligência de ameaças compartilhadas.
A Cofense , antiga PhishMe, é uma das principais fornecedoras de soluções de defesa contra phishing comandada por humanos em todo o mundo. Oferece uma abordagem colaborativa para a segurança cibernética, permitindo o envolvimento de toda a organização nas ameaças ativas de e-mails.
A Mimecast é uma empresa de cibersegurança que ajuda milhares de organizações em todo o mundo a tornar o e-mail mais seguro e a fortalecer sua resiliência cibernética. A integração do Mimecast com o QRadar SIEM oferece aos clientes maior visibilidade sobre possíveis vulnerabilidades, ataques em andamento e uma maior postura de segurança por meio de um único console. A integração do Mimecast com o QRadar SOAR oferece uma plataforma SOAR mais completa com 22 novas ações automatizadas.
A Netskope é líder em segurança na nuvem. Ajudamos as maiores organizações do mundo a aproveitar a nuvem e a web sem sacrificar a segurança. A integração da Netskope com o IBM Security QRadar permite que clientes conjuntos protejam o SaaS, IaaS e a web além de gerar relatórios sobre todo o uso e o risco relacionado à nuvem e à web.
A Onapsis permite que as organizações modernizem os sistemas de ERP da SAP e Oracle E-Business Suite, mantendo-os protegidos e em conformidade. A integração da plataforma Onapsis com o QRadar proporciona eficiência na detecção, investigação e resposta a incidentes para manter os sistemas SAP seguros e em conformidade.
A Proofpoint, Inc. é uma empresa líder em cibersegurança que protege o maior ativo e os maiores riscos das organizações: seu pessoal. A integração do Proofpoint/ObserveIT QRadar é fácil de instalar pelo IBM X-Force App Exchange e trará seus dados do ObserveIT para o QRadar para você fazer a correlação com dados de outras fontes e gerenciar alertas críticos como ofensas
A Symantec protege a geração de nuvem por meio de sua plataforma integrada de defesa cibernética, o portfólio mais completo do setor para proteção de ambientes locais e na nuvem e isso ajuda as empresas a aproveitar a computação em nuvem sem comprometer a segurança de pessoas, dados, aplicações e infraestrutura que conduzem seus negócios.
A plataforma nativa da nuvem da Zscaler protege os clientes contra ataques cibernéticos, conectando com segurança usuários, dispositivos e aplicações em qualquer lugar. Os logs ZIA e ZPA do Zscaller são ingeridos pelo QRadar SIEM e normalizados por meio de um DSM personalizado. A telemetria de alta resolução do Zscaller oferece às equipes de TI e de operações de segurança a visibilidade necessária para proteger a empresa.
Origens do log de eventos: o QRadar SIEM analisa e normaliza automaticamente o evento da origem de um log para o formato de taxonomia padrão. Para isso, o QRadar SIEM detecta automaticamente mais de 450 módulos de DSM, da Amazon ao Zscaler, prontos para uso com a instalação do QRadar e compatíveis com a IBM.
O QRadar SIEM aceita eventos das origens de log utilizando protocolos como syslog, syslog-tcp e SNMP. O QRadar SIEM pode também configurar conexões de saída para recuperar eventos utilizando protocolos como SCP, SFTP, FTP, JDBC, Check Point OPSEC e SMB/CIFS. Para saber mais sobre a IBM e aplicações de parceiros de negócios para o QRadar SIEM, acesse o IBM App Exchange .
Conheça os DSMs compatíveis com QRadar SIEM
Dispositivos de fluxo de rede: O QRadar SIEM pode receber fluxos de vários tipos diferentes de origens de dados de rede, ou origens de fluxo, classificadas como internas ou externas. Isso oferece uma visão mais profunda da sua rede para ajudar a eliminar os pontos cegos.
Os seguintes protocolos de fluxo externos são compatíveis:
É importante ter uma visão completa do que está ocorrendo na sua rede.
Os dados de eventos representam eventos de log que ocorrem em um único momento específico no ambiente do usuário, como logins de usuários, e-mail, conexões VPN, negações de firewall, conexões proxy e outros.
Dados de fluxo são informações de atividade de rede ou informações de sessão entre dois hosts em uma rede. O QRadar SIEM converte ou normaliza os dados brutos de endereços IP, portas, contagens de bytes e pacotes e outras informações em registros de fluxo. Além de coletar informações básicas de fluxo, a captura completa de pacotes está disponível com o componente QRadar Network Insights (QNI), no QRadar SIEM.
Uma diferença fundamental entre dados de evento e de fluxo é o período que cada tipo de dado é capaz de representar. O evento ocorre em um horário específico e é registrado nesse horário. Um fluxo é uma atividade de rede entre dois hosts que pode durar segundos, minutos, horas ou dias, dependendo da atividade na sessão. Por exemplo, uma solicitação da web que faz download de vários arquivos, como imagens, anúncios e vídeos, com duração de 5 a 10 segundos, ou um usuário que assiste a um filme em um serviço de streaming.
O QRadar SIEM oferece aos seus analistas de segurança uma visão completa do início, meio e fim dos eventos.
As fontes de fluxo interno coletam pacotes brutos de um dispositivo de grampo de rede, porta SPAN ou porta espelhada que está conectada a um Napatech ou placa de interface de rede. Essas fontes disponibilizam dados de pacote conforme eles aparecem na rede e os enviam para uma porta de monitoramento em um dispositivo de coleta de fluxo, que converte os dados de pacote em registros de fluxo usados no QRadar SIEM.
As fontes de fluxo externo, como roteadores que enviam protocolos de monitoramento de rede comuns, incluindo dados NetFlow, IPFIX, sFlow, J-Flow e Packeteer, oferecem um nível de visibilidade diferente das fontes de fluxo interno. Por exemplo, os registros do NetFlow podem informar a interface do roteador que os pacotes cruzaram e os números de registro ASN da rede de origem. Ao usar IPFIX, mais campos que não são analisados em campos normalizados podem ser colocados na carga útil como pares nome-valor, que podem ser usados como propriedades personalizadas.
Um módulo de suporte de dispositivo (DSM) é um arquivo plug-in que o QRadar SIEM pode usar para coletar eventos de produtos de segurança de terceiros.
Sim, o QRadar SIEM oferece atualizações automáticas para DSMs compatíveis com a IBM de acordo com as atualizações do produto do fornecedor e inclui novas liberações do DSM, correções para problemas de análise e atualizações de protocolo. Há mais informações disponíveis sobre a atualização automática de DSMs aqui.
Se ainda não houver compatibilidade para integração de um sistema em seu ambiente, o QRadar SIEM permite criar um analisador sintático personalizado para a origem de seus dados. É possível coletar também eventos de várias APIs REST para origens de dados menos comuns que não possuem um DSM ou protocolo específico, utilizando a QRadar SIEM Universal Cloud Rest API.
Comece solicitando uma demonstração do IBM QRadar SIEM para saber como ele pode ajudar a proteger a sua empresa contra as ameaças cibernéticas.