En vedette

Suivez pas à pas les actions des cybercriminels

IBM QRadar Incident Forensics réduit le temps qu'il faut pour enquêter sur les incidents relatifs à la sécurité et pour y réagir. Il est facile à utiliser et exige peu de formation, ce qui permet aux équipes chargées de la sécurité TI d'analyser rapidement et efficacement des incidents relatifs à la sécurité. La collecte des données ne se limite pas aux incidents consignés et au trafic réseau, mais inclut des captures intégrales de paquets ainsi que des documents et des éléments stockés numériquement. Il procure la visibilité dans les éléments essentiels d'une attaque (qui, quoi, quand, où et comment).

Reconstituez les données et les preuves reliées à un incident de sécurité

Inclut le pivotement pour aider à découvrir les relations réseau impliquées dans un incident. Crée des pistes en utilisant les métadonnées de réseau et de fichiers et les contenus des données de capture de paquets, y compris le texte de pages et de documents Web. Permet aux analystes de filtrer les résultats de recherche pour inclure seulement les paquets associés à un incident QRadar précis, ce qui les aide à localiser rapidement et facilement le trafic malveillant. Permet de mener des tests sur des attaques décelées par des flux de surveillance de menaces Internet comme IBM X-Force.

S'intègre avec IBM QRadar Security Intelligence Platform

Emploie l'interface utilisateur à console unique QRadar, avec intégration d'un clic droit pour garnir une demande de recherche de capture de paquets. Inclut des outils de pointage et cliquage pour l'analyse et la visualisation approfondies de relations étendues, ou des impressions numériques fondées sur les adresses IP ou MAC ou sur les identités de courriel, de clavardage et de médias sociaux.

Mettez en œuvre la collaboration et la gestion en prévention des menaces

Accordez l'accès à IBM Security App Exchange.

Utilisation par les clients

  • Suivez les traces d'un cybercriminel

    Problème

    Discerner les activités suspectes qui sont réellement pertinentes à un incident.

    Solution

    Reconstituer les actions des cybercriminels pour fournir des informations détaillées sur l'incidence d'une intrusion et prévenir toute répétition.

  • Reconstituez les données dans une attaque sur la sécurité

    Reconstituez les données dans une attaque sur la sécurité

    Problème

    Déterminer la portée complète d'un incident de sécurité.

    Solution

    Dresser des profils de preuves des incidents de sécurité à des fins de résolution. Reconstituer les données affectées dans un incident de sécurité pour obtenir une vue détaillée pas à pas dudit incident. Simplifier le processus de demande à l'aide d'une interface comme un moteur de recherche Internet.

  • Économisez du temps et réduisez les coûts

    Problème

    Les enquêtes d'experts étaient effectuées manuellement et nécessitaient des outils et des compétences techniques spécialisés.

    Solution

    Les équipes chargées de la sécurité TI peuvent rapidement et facilement mener une enquête d'expert et obtenir la visibilité dans les détails relatifs à une brèche de sécurité, et ce, sans aucune compétence ou formation spéciale.

  • Tirez le maximum de l'infrastructure existante

    Problème

    Devoir utiliser des systèmes et des outils distincts en espérant trouver un lien pertinent à l'infraction.

    Solution

    Utiliser l'infrastructure PCAP existante ou obtenir de nouveaux systèmes dédiés à QRadar Incident Forensics.

Renseignements techniques

Exigences logicielles

Pour plus de renseignements sur la compatibilité du matériel et des logiciels, consultez les exigences de système détaillées, dans le document IBM Security QRadar Incident Forensics Installation Guide.

    Exigences matérielles

    QRadar Incident Forensics se décline sous forme de matériel, de logiciel ou d'appareil virtuel. Assurez-vous d'avoir accès aux composants matériels suivants :

    Onduleur UPS pour tous les systèmes qui stockent des données comme les composants QRadar Console et Event Processor ou les composants QRadar QFlow Collector; câble inverseur, si vous voulez relier le système à une console série.

    Les produits QRadar sont compatibles avec les mises en œuvre RAID (Redundant Array of Independent Disks) matérielles; cela dit, ils ne le sont pas avec les installations RAID logicielles.

    • Écran et clavier ou console série

    Spécifications techniques

    Système d'exploitation : Red Hat Enterprise Linux (RHEL) Server 6. Préalable : IBM Security QRadar SIEM 7.2.2 et correctifs ultérieurs

    QRadar Incident Forensics est intégré dans IBM QRadar Security Intelligence Platform. Pour les installations réparties, vous pouvez maintenant ajouter un appareil QRadar Incident Forensics (IBM Security QRadar Incident Forensics Processor) à titre d'hôte géré à un appareil QRadar.

    Il n'existe plus de nœud primaire ou secondaire QRadar Incident Forensics. Chaque processeur QRadar Incident Forensics est géré par la console QRadar.