Visão geral

Uma visão completa do início, meio e fim de um evento

O QRadar SIEM não apenas registra eventos de log, como logins de usuário ou conexões VPN, mas também dados de fluxo — atividade de rede que pode durar de segundos a dias, como o streaming de um filme. Essa capacidade exclusiva ajuda o QRadar SIEM a fornecer visibilidade abrangente em seu ambiente de segurança, incluindo data centers locais, nuvens, aplicações SaaS e endpoints de funcionários, para limitar pontos cegos onde atividades maliciosas podem estar ocultas.

Estenda ainda mais os recursos de detecção de ameaças do QRadar SIEM com vários pontos de integração, como módulos de suporte de dispositivo (DSM), dispositivos de coleta de comportamento de rede, feeds de inteligência de ameaças e scanners de vulnerabilidade.

Benefícios

Obtenha visibilidade abrangente

Visualize dados de segurança em seu ambiente para fechar lacunas de ameaças.

Acelere a correção

Obtenha informações atualizadas sobre ameaças mundiais que podem se infiltrar em seu ambiente.

Proteja seu ambiente proativamente

Receba alertas automáticos de vulnerabilidade e correção de scanners de vulnerabilidade.

Tipos de integração

Fontes de log de eventos

Acesse mais de 450 módulos de suporte de dispositivo (DSM) e mais de 370 aplicações

As ameaças se movem rapidamente. Ao contrário de outros SIEMs no mercado, o QRadar SIEM analisa e normaliza automaticamente um evento de origem de log no formato de taxonomia padrão. Para fazer isso, o QRadar SIEM detecta automaticamente mais de 450 módulos DSM, da Amazon ao Zscaler, que estão prontos para uso com a instalação do QRadar e o suporte da IBM.

O QRadar SIEM aceita eventos de origens de log usando protocolos como syslog, syslog-tcp e SNMP.  O QRadar SIEM também pode configurar conexões de saída para recuperar eventos usando protocolos como SCP, SFTP, FTP, JDBC, Check Point OPSEC e SMB/CIFS.

Para mais aplicações IBM e de parceiros de negócios para o QRadar SIEM, visite IBM App Exchange (o link reside fora do site ibm.com).

Dispositivos de coleta de comportamento de rede

Proteja sua rede com dispositivos de coleta de comportamento de rede

O QRadar SIEM pode receber fluxos de vários tipos diferentes de fontes de dados de rede, ou fontes de fluxo, classificadas como internas ou externas. Isso fornece uma visão mais profunda da sua rede para ajudar a eliminar pontos cegos.

Os protocolos de fluxo externo a seguir são compatíveis:

Scanners de vulnerabilidade

Identifique e priorize ameaças rapidamente

As integrações com dados de vulnerabilidade ajudam o QRadar SIEM a entender mais sobre os ativos em seu ambiente para priorizar alertas e reduzir falsos positivos. Além disso, os scanners de avaliação de vulnerabilidade podem fornecer perfis de avaliação de vulnerabilidade para ativos de rede.

Feeds de inteligência sobre ameaça

Antecipe-se às ameaças mundiais emergentes

Para obter um contexto adicional para priorizar as ameaças, o QRadar SIEM utiliza integrações com feeds de inteligência de ameaças e scanners de vulnerabilidade. Os feeds de inteligência de ameaças fornecem informações atuais ao QRadar SIEM sobre as ameaças mais recentes descobertas em todo o mundo, para que você possa agir proativamente para proteger seu ambiente.

Integrações personalizadas

Desenvolva suas próprias integrações

Se ainda não houver suporte de integração para um sistema em seu ambiente, o QRadar SIEM permite criar um analisador sintático personalizado para sua origem de dados. Também é possível coletar eventos de várias APIs de REST para origens de dados menos comuns que não possuem um DSM ou protocolo específico usando a QRadar SIEM Universal Cloud Rest API.

Perguntas frequentes

Obtenha respostas para as perguntas mais comuns sobre este produto.

Qual é a diferença entre eventos de log e dados de fluxo e por que isso é importante?

É importante ter uma visão completa do que está ocorrendo em sua rede.

Os dados de eventos representam eventos de log que ocorrem em um único ponto no tempo no ambiente de um usuário, como logins de usuários, e-mail, conexões VPN, negações de firewall, conexões proxy e muito mais.

Dados de fluxo são informações de atividade de rede ou informações de sessão entre dois hosts em uma rede. O QRadar SIEM converte ou normaliza os dados brutos de endereços IP, portas, contagens de bytes e pacotes e outras informações em registros de fluxo. Além de coletar informações básicas de fluxo, a captura completa de pacotes está disponível com o componente QRadar Network Insights (QNI), disponível no QRadar SIEM.

Uma diferença fundamental entre dados de evento e de fluxo é o período que cada tipo de dado é capaz de representar. Um evento ocorre em um horário específico e o evento é registrado nesse horário. Um fluxo é uma atividade de rede entre dois hosts que pode durar segundos, minutos, horas ou dias, dependendo da atividade na sessão. Por exemplo, uma solicitação da web que baixa vários arquivos, como imagens, anúncios e vídeos, com duração de 5 a 10 segundos, ou um usuário que assiste a um filme com um serviço de streaming.

O QRadar SIEM oferece aos seus analistas de segurança uma visão completa do início, meio e fim de um evento.

O que são fontes de fluxo interno e como funcionam?

As fontes de fluxo interno coletam pacotes brutos de um dispositivo tap de rede, porta SPAN ou porta espelhada que está conectada a um Napatech ou placa de interface de rede. Essas fontes fornecem dados de pacote conforme aparecem na rede e os enviam para uma porta de monitoramento em um dispositivo de coleta de fluxo, que converte os dados de pacote em registros de fluxo usados no QRadar SIEM.

O que são fontes externas de fluxo e como elas funcionam?

As fontes de fluxo externas, como roteadores que enviam protocolos de monitoramento de rede comuns, incluindo dados NetFlow, IPFIX, sFlow, J-Flow e Packeteer, fornecem um nível de visibilidade diferente das fontes de fluxo interno. Por exemplo, os registros NetFlow podem fornecer a interface do roteador que os pacotes cruzaram, bem como os números de registro ASN da rede de origem. Ao usar IPFIX, campos adicionais que não são analisados em campos normalizados podem ser colocados na carga útil como pares nome-valor, que podem ser usados como propriedades personalizadas.

O que é um módulo de suporte de dispositivo (DSM)?

Um módulo de suporte de dispositivo (DSM) é um arquivo de plug-in que o QRadar SIEM pode usar para coletar eventos de produtos de segurança de terceiros.

Os DSMs são atualizados automaticamente?

Sim, o QRadar SIEM fornece atualizações automáticas para DSMs compatíveis com a IBM de acordo com as atualizações do produto do fornecedor e inclui novas liberações do DSM, correções para problemas de análise e atualizações de protocolo. Mais informações sobre como atualizar DSMs automaticamente podem ser encontradas aqui.