Feature-Highlights

Rückverfolgung der Vorgehensweise von Cyberkriminellen Schritt für Schritt

IBM® QRadar® Incident Forensics verringert den Zeitaufwand für die Untersuchung von Sicherheitsverstößen und das Einleiten von Gegenmaßnahmen. Die Lösung ist benutzerfreundlich und erfordert nur minimalen Schulungsaufwand, sodass die mit der IT-Sicherheit betrauten Teams Sicherheitsverstöße schnell und effizient untersuchen können. Die Funktionen für die Datenerfassung gehen über Protokollereignisse und Netzwerkdatenflüsse hinaus und schließen vollständige Paketaufzeichnungen sowie digital gespeicherte Dokumente und Elemente ein. Sie bieten Kontext und geben Aufschluss darüber, von wem welcher Angriff wann, wo und wie durchgeführt wurde.

Wiederherstellung von Daten und Nachweisen zu einem Sicherheitsvorfall

Beinhaltet Daten-Pivoting zur Erkennung von Netzwerkabhängigkeiten im Zusammenhang mit einem Sicherheitsvorfall. Erstellt Indizes mithilfe von Netzwerk- und Dateimetadaten sowie den Nutzdateninhalten von PCAP-Daten (Packet Capture), z. B. Text von Webseiten und aus Dokumenten. Hilft Analysten beim Filtern von Suchergebnissen, sodass nur Pakete im Zusammenhang mit einem bestimmten Sicherheitsverstoß in QRadar aufgenommen werden können. So kann schädlicher Datenverkehr schnell und einfach ermittelt werden. Ermöglicht das Testen von Angriffen, die über Threat Intelligence-Feeds im Internet identifiziert werden, z. B. IBM X-Force®.

Kombination mit der IBM QRadar Security Intelligence Platform

Nutzt die Benutzeroberfläche mit zentraler Konsole in QRadar, bei der über eine Integrationsfunktion mit der rechten Maustaste Daten in eine Suchanforderung zur Paketaufzeichnung aufgenommen werden können. Enthält Point-and-Click-Tools für detailliertere Analysen und die Darstellung erweiterter Beziehungen oder digitale Darstellungen basierend auf IP- oder MAC-Adressen, E-Mails, Chats und Identitäten in sozialen Netzwerken.

Zusammenarbeit und Management zur Vermeidung von Sicherheitsbedrohungen

Ermöglicht den Zugriff auf IBM Security App Exchange.

Nutzung durch Kunden

  • Screenshot der forensischen Vorfallsuntersuchung

    Rückverfolgung der einzelnen Schritte von Cyberkriminellen

    Problem

    Erkennung, welche verdächtige Aktivität wirklich für einen Sicherheitsvorfall relevant ist

    Lösung

    Durch die Ermittlung der Vorgehensweise von Cyberkriminellen erhalten Sie detaillierten Einblick in die Auswirkungen eines unbefugten Zugriffs und können ein nochmaliges Auftreten verhindern.

  • Screenshot der Krafterkennung in IBM QRadar

    Wiederherstellen von Daten nach einem Angriff

    Problem

    Bestimmung des ganzen Ausmaßes eines Sicherheitsvorfalls

    Lösung

    Kompilieren Sie Profile von Sicherheitsvorfällen. Stellen Sie Daten im Zusammenhang mit einem Sicherheitsvorfall wieder her, um sich den Vorfall detailliert und Schritt für Schritt anzusehen. Vereinfachen Sie den Abfrageprozess mithilfe einer Schnittstelle, die einer Internet-Suchmaschine ähnelt.

  • Screenshot des forensischen Vorfallsuntersuchungsdiagramms

    Zeit- und Kosteneinsparungen

    Problem

    Forensische Untersuchungen erforderten bislang manuelle Prozesse, spezielle Tools und spezialisierte technische Kenntnisse.

    Lösung

    IT-Sicherheitsteams können schnell und einfach umfangreiche forensische Untersuchungen durchführen und erhalten Einblick in die Details eines Sicherheitsverstoßes, ohne dass hierfür spezielle Kenntnisse oder Schulungen erforderlich sind.

  • Screenshot der Vorfallsübersicht

    Nutzung der bestehenden Infrastruktur

    Problem

    Sie müssen unterschiedliche Systeme und Tools verwenden und hoffen, einen Zusammenhang mit Blick auf den Sicherheitsvorfall zu finden.

    Lösung

    Nutzen Sie optional die vorhandene PCAP-Infrastruktur oder erwerben Sie neue Systeme, die für QRadar Incident Forensics dediziert sind.

Technische Details

Technische Spezifikationen

Betriebssystem: Red Hat Enterprise Linux (RHEL) Server 6 Voraussetzung: IBM Security QRadar SIEM 7.2.2 und künftige Fixpacks.

Softwarevoraussetzungen

Informationen zur Kompatibilität von Hardware finden Sie in den im Installationsleitfaden angeführten detaillierten Systemanforderungen für IBM Security QRadar Incident Forensics.

Hardwarevoraussetzungen

IBM QRadar Incident Forensics ist als Hardware, Software und virtuelle Einheit erhältlich. Sie benötigen Zugang zu der folgenden Hardware:

  • Bildschirm und Tastatur oder eine serielle Konsole