Présentation

Une vision complète des événements du début à la fin

Non seulement QRadar SIEM enregistre les événements de journal, tels que les connexions d'utilisateurs ou les connexions VPN, mais il enregistre également les données de flux, c'est-à-dire l'activité du réseau, de quelques secondes à plusieurs jours, tel un film en streaming. Cette capacité unique permet à QRadar SIEM de fournir une vision précise sur l'ensemble de votre environnement de sécurité, comme vos centres de données sur site, vos clouds, vos applications SaaS et les terminaux des équipes, ce qui ne laisse aucune zone d'ombre propice à des activités malveillantes.

Vous pouvez étendre les capacités de détection des menaces offertes par QRadar SIEM en ajoutant des extensions comme les modules de support de dispositif (DSM), la collecte du comportement du réseau, des flux de partage de renseignements sur les menaces et des scanners de vulnérabilité.

Avantages

Obtenez une vision complète

Visualisez les données de sécurité de l’ensemble de votre environnement pour fermer la porte aux menaces.

Accélérez la remédiation

Recevez l'actualité des menaces mondiales qui pourraient nuire à votre environnement.

Sécurisez votre environnement de manière proactive

Recevez des alertes automatiques en provenance de scanners de vulnérabilités à propos des vulnérabilités et des correctifs.

Types d'intégrations

Sources des événements du journal

Accédez à plus de 450 modules de support de dispositif (DSM) et à plus de 370 applications.

Les menaces évoluent rapidement. Contrairement aux autres SIEM du marché, QRadar SIEM analyse et convertit automatiquement les événements d'une source de journal en un format taxonomique standard. QRadar SIEM détecte automatiquement plus de 450 DSM, d'Amazon à Zscaler, prêts à être utilisés dès l'installation de QRadar, et approuvés par IBM.

QRadar SIEM traite les événements d'une source de journal en utilisant des protocoles tels que syslog, syslog-tcp et SNMP.  Il est également possible de configurer sur QRadar SIEM des connexions sortantes en utilisant des protocoles tels que SCP, SFTP, FTP, JDBC, Check Point OPSEC et SMB/CIFS pour récupérer les événements.

Pour consulter toutes les applications d'IBM ou de partenaires commerciaux pour QRadar SIEM, rendez-vous sur IBM App Exchange (le lien redirige en dehors d'ibm.com).

Dispositifs de collecte du comportement du réseau

Protégez votre réseau avec des dispositifs de collecte du comportement du réseau

QRadar SIEM peut recevoir des flux de nombreux types de sources de données réseau, ou sources de flux, classées comme internes ou externes. Cela permet d'avoir une vision plus détaillée de votre réseau et d'éliminer les zones d'ombre.

Les protocoles de flux externes suivants sont pris en charge :

Scanners de vulnérabilité

Identifiez et priorisez rapidement les menaces

Les intégrations avec données de vulnérabilité aident QRadar SIEM à mieux comprendre les actifs de votre environnement afin de prioriser les alertes et de diminuer les faux positifs. De plus, les scanners d'évaluation de la vulnérabilité peuvent fournir des profils d'évaluation de la vulnérabilité pour les actifs du réseau.

Flux de partage de renseignements sur les menaces

Anticipez les menaces mondiales émergentes

Pour apporter davantage de contexte et prioriser les menaces, QRadar SIEM utilise des intégrations avec des flux de partage de renseignements sur les menaces et des scanners de vulnérabilité. Les flux de partage de renseignements sur les menaces fournissent à QRadar SIEM des informations actualisées sur les nouvelles menaces découvertes dans le monde, afin que vous puissiez agir proactivement pour protéger votre environnement.

Intégrations personnalisées

Créez vos propres intégrations

Si le support d'intégration d'un système de votre environnement n'est pas encore disponible, QRadar SIEM vous permet de créer un analyseur syntaxique personnalisé pour votre source de données. Vous pouvez également collecter des événements en utilisant diverses API REST pour les sources de données les moins courantes qui ne disposent pas d'un DSM ni d'un protocole spécifique en utilisant l'API Rest Universal Cloud QRadar SIEM.

Questions fréquentes

Obtenez les réponses aux questions les plus fréquemment posées sur ce produit.

Quelle est la différence entre les événements de journal et les données de flux et pourquoi est-ce important ?

Il est important d'avoir une vision complète de ce qui se passe sur votre réseau.

Les données d'événement représentent les événements de journal qui se produisent à un moment donné dans l'environnement d'un utilisateur, tels que les connexions d'utilisateur, les e-mails, les connexions VPN, les blocages par pare-feu, les connexions proxy et plus encore.

Les données de flux sont des informations sur l'activité du réseau ou des informations sur les sessions entre deux hôtes sur un réseau. QRadar SIEM traduit ou normalise les données brutes d'adresses IP, de ports, du nombre d'octets et de paquets, ainsi que d'autres informations, en enregistrements de flux. Outre la collecte des informations de base sur les flux, il est possible de capturer entièrement les paquets avec le composant QRadar Network Insights (QNI) disponible sur QRadar SIEM.

La différence majeure entre des données d'événement et des données de flux est la durée que chaque type de données est capable de représenter. Lorsqu'un événement se produit, il est enregistré au moment où il se produit. Le flux, qui est une activité réseau entre deux hôtes, peut durer quelques secondes, quelques minutes, quelques heures ou quelques jours selon l'activité au cours de la session. Par exemple, une requête web qui télécharge plusieurs fichiers tels que des images, des publicités et des vidéos qui durent entre 5 et 10 secondes, ou un utilisateur qui regarde un film sur un service de streaming.

QRadar SIEM offre à vos analystes de sécurité une vision complète du début, du milieu et de la fin d'un événement.

Que sont les sources de flux internes et comment fonctionnent-elles ?

Les sources de flux internes collectent des paquets bruts à partir d'un dispositif de prise réseau, d'un port SPAN ou d'un port miroir qui est connecté à un Napatech ou à une carte d'interface réseau. Ces sources fournissent des données de paquets telles qu'elles apparaissent sur le réseau et les envoient via un port de surveillance sur un dispositif de collecte de flux, qui les convertit en enregistrements de flux utilisés dans QRadar SIEM.

Que sont les sources de flux externes et comment fonctionnent-elles ?

Les sources de flux externes, telles que les routeurs qui envoient des protocoles de surveillance réseau courants, comme des données NetFlow, IPFIX, sFlow, J-Flow et Packeteer, n'offrent pas le même niveau de visibilité que les sources de flux internes. Par exemple, les enregistrements NetFlow peuvent fournir à la fois l'interface d'un routeur emprunté par les paquets, ainsi que les numéros d'enregistrement ASN du réseau d'origine. Lorsqu'on utilise IPFIX, les champs supplémentaires qui ne sont pas convertis en champs normalisés peuvent être placés dans les données utiles sous forme de paires nom-valeur, lesquelles peuvent ensuite être utilisées comme propriétés personnalisées.

Qu'est-ce qu'un module de support de dispositif (DSM) ?

Un module de support de dispositif (DSM) est un fichier d'extension que QRadar SIEM peut utiliser pour collecter les événements surveillés par vos produits de sécurité tiers.

Les DSM sont-ils automatiquement mis à jour ?

Oui, QRadar SIEM fournit des mises à jour automatiques pour les DSM pris en charge par IBM en fonction des mises à jour des produits par les fournisseurs. Ces mises à jour comprennent les nouvelles versions des DSM, les corrections des problèmes d'analyse et les mises à jour des protocoles. Vous trouverez plus d'informations sur la mise à jour automatique des DSM ici.