Visão geral

Os complementos do IBM Security QRadar aumentam as capacidades de sua solução SIEM (Security Information and Event Management), oferecendo melhores insights, além de permitir que você assuma um papel mais proativo na segurança de TI da sua organização.

IBM QRadar User Behavior Analytics

IBM QRadar Advisor with Watson

IBM QRadar Incident Forensics

IBM QRadar Data Store

Aplicativo IBM QRadar Data Synchronization

Casos de clientes

Perguntas frequentes

Como o Data Store é configrado para separar dados para armazenamento de dados para análise?

O armazenamento de dados é configurado usando um filtro de coleta simples no QRadar. Ao selecionar a origem de dados ou os critérios do evento a partir da fonte de dados, é possível definir facilmente quais dados são enviados diretamente para o armazenamento de dados. Este filtro pode ser mudado a qualquer momento e enviado imediatamente para produção.

Os aplicativos instalados por meio do App Exchange usam dados do Data Store?

Alguns podem e outros não. Como os dados do armazenamento de dados não passam por análise ou correlação, os aplicativos acionados por análise podem não ser capazes de usar todos os dados coletados usando o armazenamento de dados. Todos os outros recursos, como relatório, análise, propriedades customizadas e dashboards devem funcionar conforme o esperado.

Qual versão do QRadar é necessária para usar o Data Store?

Os clientes devem usar o QRadar 7.3.1 ou superior.

Quais tipos de dispositivos suportam o recurso Data Store?

O armazenamento de dados é uma substituição de licenciamento do QRadar que usa armazenamento e capacidade de processamento existentes em processadores de eventos e nós de dados para coletar, processar e armazenar dados identificados do armazenamento de dados. Não é necessário usar um novo dispositivo, mas é possível adquirir novos nós de dados para atender às necessidades de armazenamento de dados.

Quais recursos do QRadar funcionarão com dados coletados do Data Store?

O Data Store é usado principalmente para gerenciamento de log, portanto, seus dados são excluídos de recursos de correlação e análise de segurança avançada. No entanto, os dados do armazenamento de dados podem ser usados pela maioria dos outros recursos, como procura, relatórios e visualização, bem como como aplicativos customizados desenvolvidos usando o QRadar App Framework.

Os dados coletados usando o armazenamento de dados podem ser convertidos e usados posteriormente em casos de uso de segurança?

Os dados do Data Store não podem ser usados para correlação histórica. No entanto, a política de filtragem que separa dados do Data Store de dados do SIEM pode ser facilmente mudada. Assim que a política for atualizada, todos os futuros dados coletados serão incluídos em todos os processos de análise e de correlação no QRadar.

Existem pré-requisitos para instalar o User Behavior Analytics (UBA)?

Sim. Se estiver em execução em um console do QRadar, o aplicativo UBA precisará de um mínimo de 64 GB ou até 128 GB de memória. Além disso, considere implementar de um host de aplicativos para ter acesso a todos os benefícios da execução do app UBA com o app habilitado para machine learning.

Como colocar os dados da minha empresa no UBA?

O UBA se integra diretamente à solução QRadar Security Analytics, utilizando a interface com o usuário e o banco de dados existentes do QRadar. Todos os dados de segurança corporativos podem permanecer em um local central e os analistas podem ajustar regras, gerar relatórios e conectar dados e não é necessário usar um novo sistema.

O UBA se integra às minhas outras ferramentas?

Uma vez que o UBA compartilha o mesmo banco de dados subjacente que o QRadar, qualquer fonte de dados ingerida no QRadar pode ser identificada e usada no UBA.

O que é a arquitetura do UBA?

O UBA é oferecido em um pacote com uma coleção de três apps: um app LDAP que ajuda a alimentar e reunir informações de identidade dos usuários, um app UBA que ajuda a visualizar dados e análises e um app de machine learning que fornece uma biblioteca de algoritmos de machine learning usada para criar modelos comportamentais de atividades dos usuários.

O que é a detecção de anomalias?

A detecção de anomalias é uma técnica usada para identificar padrões incomuns que não se adequam ao comportamento esperado e que diferem significativamente da maioria dos dados.

O que é uma pontuação de risco?

Uma pontuação de risco é a medida numérica da possível nocividade de uma atividade do usuário. Cada comportamento anômalo que é detectado pela UBA impacta uma pontuação de risco do usuário individual.

Quanto tempo leva para treinar os modelos de machine learning?

Os algoritmos de machine learning alimentam as últimas quatro semanas de dados do banco de dados compartilhado do QRadar e normalmente levam cerca de 3 a 24 horas para criar os modelos de comportamento normal.

O UBA pode ser implementado no QRadar on Cloud?

O app UBA pode ser implementado em ambientes locais do QRadar, no QRadar on Cloud ou em quaisquer implementações IaaS ou híbridas.

Quanto custa o app UBA?

O app UBA é oferecido aos clientes do QRadar sem custo adicional.

Onde é possível obter ajuda com o UBA?

O suporte IBM tem recursos dedicados que podem ajudar com questões de alta prioridade. O app UBA inclui uma seção de ajuda e suporte para uso dos apps LDAP, UBA e de machine learning.

Como a IBM protege informações do usuário no UBA?

Como acontece com todos os aplicativos e módulos do QRadar, os dados são criptografados em repouso.