Visão geral
Uma visão completa do início, meio e fim de um evento
O QRadar SIEM não apenas registra eventos de log, como logins de usuário ou conexões VPN, mas também dados de fluxo — atividade de rede que pode durar de segundos a dias, como o streaming de um filme. Essa capacidade exclusiva ajuda o QRadar SIEM a fornecer visibilidade abrangente em seu ambiente de segurança, incluindo data centers locais, nuvens, aplicações SaaS e endpoints de funcionários, para limitar pontos cegos onde atividades maliciosas podem estar ocultas.
Estenda ainda mais os recursos de detecção de ameaças do QRadar SIEM com vários pontos de integração, como módulos de suporte de dispositivo (DSM), dispositivos de coleta de comportamento de rede, feeds de inteligência de ameaças e scanners de vulnerabilidade.
Benefícios
Obtenha visibilidade abrangente
Visualize dados de segurança em seu ambiente para fechar lacunas de ameaças.
Acelere a correção
Obtenha informações atualizadas sobre ameaças mundiais que podem se infiltrar em seu ambiente.
Proteja seu ambiente proativamente
Receba alertas automáticos de vulnerabilidade e correção de scanners de vulnerabilidade.
Tipos de integração
Dispositivos de coleta de comportamento de rede
Proteja sua rede com dispositivos de coleta de comportamento de rede
O QRadar SIEM pode receber fluxos de vários tipos diferentes de fontes de dados de rede, ou fontes de fluxo, classificadas como internas ou externas. Isso fornece uma visão mais profunda da sua rede para ajudar a eliminar pontos cegos.
Os protocolos de fluxo externo a seguir são compatíveis:
Scanners de vulnerabilidade
Identifique e priorize ameaças rapidamente
As integrações com dados de vulnerabilidade ajudam o QRadar SIEM a entender mais sobre os ativos em seu ambiente para priorizar alertas e reduzir falsos positivos. Além disso, os scanners de avaliação de vulnerabilidade podem fornecer perfis de avaliação de vulnerabilidade para ativos de rede.
Feeds de inteligência sobre ameaça
Antecipe-se às ameaças mundiais emergentes
Para obter um contexto adicional para priorizar as ameaças, o QRadar SIEM utiliza integrações com feeds de inteligência de ameaças e scanners de vulnerabilidade. Os feeds de inteligência de ameaças fornecem informações atuais ao QRadar SIEM sobre as ameaças mais recentes descobertas em todo o mundo, para que você possa agir proativamente para proteger seu ambiente.
- IBM X-Force Threat Intelligence
- IBM QRadar Threat Intelligence
- Trusted Automated Exchange of Intelligence Information (TAXII™) (link reside fora do site ibm.com)
- Structured Threat Information Expression (STIX™) (link reside fora do site ibm.com)
Integrações personalizadas
Desenvolva suas próprias integrações
Se ainda não houver suporte de integração para um sistema em seu ambiente, o QRadar SIEM permite criar um analisador sintático personalizado para sua origem de dados. Também é possível coletar eventos de várias APIs de REST para origens de dados menos comuns que não possuem um DSM ou protocolo específico usando a QRadar SIEM Universal Cloud Rest API.
Perguntas frequentes
Obtenha respostas para as perguntas mais comuns sobre este produto.
O que são fontes de fluxo interno e como funcionam?
As fontes de fluxo interno coletam pacotes brutos de um dispositivo tap de rede, porta SPAN ou porta espelhada que está conectada a um Napatech ou placa de interface de rede. Essas fontes fornecem dados de pacote conforme aparecem na rede e os enviam para uma porta de monitoramento em um dispositivo de coleta de fluxo, que converte os dados de pacote em registros de fluxo usados no QRadar SIEM.
O que são fontes externas de fluxo e como elas funcionam?
As fontes de fluxo externas, como roteadores que enviam protocolos de monitoramento de rede comuns, incluindo dados NetFlow, IPFIX, sFlow, J-Flow e Packeteer, fornecem um nível de visibilidade diferente das fontes de fluxo interno. Por exemplo, os registros NetFlow podem fornecer a interface do roteador que os pacotes cruzaram, bem como os números de registro ASN da rede de origem. Ao usar IPFIX, campos adicionais que não são analisados em campos normalizados podem ser colocados na carga útil como pares nome-valor, que podem ser usados como propriedades personalizadas.
O que é um módulo de suporte de dispositivo (DSM)?
Um módulo de suporte de dispositivo (DSM) é um arquivo de plug-in que o QRadar SIEM pode usar para coletar eventos de produtos de segurança de terceiros.
Os DSMs são atualizados automaticamente?
Sim, o QRadar SIEM fornece atualizações automáticas para DSMs compatíveis com a IBM de acordo com as atualizações do produto do fornecedor e inclui novas liberações do DSM, correções para problemas de análise e atualizações de protocolo. Mais informações sobre como atualizar DSMs automaticamente podem ser encontradas aqui.