Überblick
Diese IBM Security QRadar-Add-ons erweitern die Funktionen Ihrer SIEM-Lösung (Security Information and Event Management), indem sie Ihnen bessere Einblicke und eine proaktivere Rolle in Bezug auf die IT-Sicherheit Ihres Unternehmens ermöglichen.
IBM QRadar User Behavior Analytics
Schaffen Sie mehr Transparenz in Bezug auf Insider-Bedrohungen, decken Sie anomales Verhalten auf, identifizieren Sie risikobehaftete Benutzer und generieren Sie schnell aussagekräftige Erkenntnisse, indem Sie maschinelles Lernen und Verhaltensanalysen auf QRadar-Sicherheitsdaten anwenden.
Den SIEM- und UEBA-Analystenbericht abrufen →
App jetzt herunterladen (Link befindet sich außerhalb von ibm.com) →
IBM QRadar Advisor with Watson
Mithilfe von künstlicher Intelligenz (KI) und maschinellem Lernen kann sich Ihr Team auf kritische Sicherheitsfragen konzentrieren, während Advisor sich wiederholende Bedrohungen im Security Operations Center (SOC) bearbeitet und konsistente und gründliche Untersuchungen durchführt. Dies reduziert den Zeitverlust und führt zu einem gradlinigeren und zielgerichteteren Eskalationsprozess.
IBM QRadar Incident Forensics
Vollziehen Sie die Aktionen eines Cyberkriminellen nach, um tiefe Einblicke in die Sicherheitsverletzung zu erhalten, rekonstruieren Sie die in einem Sicherheitsvorfall involvierten Daten, um den Vorfall Schritt für Schritt zu untersuchen, und bieten Sie Ihren IT-Sicherheitsteams mehr Transparenz, auch ohne spezielle Kenntnisse oder Schulungen.
IBM QRadar Data Store
Kosteneffiziente Erfassung, Analyse und Speicherung von großen Volumen an sicherheitsbezogenen und operativen IT-Daten. Tiefere Erkenntnisse noch während des Untersuchungsverlaufs mithilfe von KI sowie schnelle Entwicklung von maßgeschneiderten Anwendungen zur Bewältigung Ihrer Problemstellungen rund um Sicherheit und IT-Betrieb.
IBM QRadar Data Synchronization App
Verbesserung von IT-Resilienz und Disaster Recovery. Diese Anwendung ermöglicht die einfache, kosteneffiziente Kopie von Daten (Ereignisse und Datenverkehr) und Konfigurationsdateien von primären bzw. aktiven zu sekundären QRadar Disaster-Recovery-Bereitstellungen. Außerdem erlaubt sie die Verwaltung, welche Bereitstellung bei einem Störfall, einem menschlichen Fehler oder im Rahmen eines Tests Ihrer Datenresilienz-Funktionen aktiv sein soll.
Weitere Informationen zu Disaster Recovery →
Blogbeitrag lesen →
Kundenreferenzen
Cyberkriminelle nehmen unablässig Finanzinstitute ins Visier. Die Cargills Bank implementiert mithilfe von IBM QRadar Advisor with Watson eine proaktive Strategie für den Kundenschutz. Mit dieser kognitiven Sicherheitslösung können Analyseteams problemlos eine große Bandbreite an Bedrohungsdaten untersuchen und erhalten praktisch verwertbare Erkenntnisse für schnelle Entscheidungen.
Häufig gestellte Fragen
Verwenden die Anwendungen, die ich aus der App Exchange installiere, Daten von Data Store?
Manche ja, manche nein. Da die Daten von Data Store keine Analysen oder Korrelationen durchlaufen, können analysegesteuerte Anwendungen möglicherweise die mithilfe von Data Store erfassten Daten nicht vollständig nutzen. Alle anderen Funktionen wie Berichterstellung, Syntaxanalyse, kundendefinierte Eigenschaften und Dashboards sollten jedoch den Erwartungen entsprechend funktionieren.
Welche Version von QRadar ist für die Nutzung von Data Store erforderlich?
Die Kunden müssen QRadar 7.3.1 oder höher nutzen.
Welche Art von Geräten unterstützt die Data-Store-Funktion?
Bei Data Store handelt es sich um eine zusätzliche Lizenz-Ebene von QRadar. Diese nutzt die bestehenden Speicher- und Verarbeitungskapazitäten von Ereignisprozessoren und Datenknoten für die Erfassung, Verarbeitung und Speicherung der für Data Store identifizierten Daten. Es sind keine neuen Geräte erforderlich, jedoch können zusätzliche Datenknoten erworben werden, um die Anforderungen an die Datenspeicherung zu unterstützen.
Welche Funktionen von QRadar arbeiten mit den von Data Store erfassten Daten zusammen?
Data Store wird vorrangig für die Protokollverwaltung eingesetzt. Daher sind die Daten dieses Add-ons von Funktionen für die Korrelation und erweiterte Sicherheitsanalyse ausgeschlossen. Jedoch können die Daten von Data Store auch von den meisten anderen Funktionen wie beispielsweise Suche, Berichterstellung und Visualisierung verwendet werden, ebenso wie von individuellen Anwendungen, die im QRadar App Framework entwickelt wurden.
Lassen sich die mit Data Store erfassten Daten konvertieren und später für Sicherheits-Anwendungsfälle verwenden?
Daten von Data Store können nicht für historische Korrelationen verwendet werden. Jedoch lassen sich die Filterregeln, mit denen die Daten von Data Store von denen für das SIEM getrennt werden, einfach abändern. Sobald die Regeln aktualisiert sind, werden alle künftig erfassten Daten in sämtliche Analyse- und Korrelationsprozesse in QRadar aufgenommen.
Gibt es bestimmte Voraussetzungen für die Installation von User Behavior Analytics (UBA)?
Ja – bei Betrieb auf einer QRadar-Konsole erfordert die UBA-Anwendung mindestens 64 GB oder bis zu 128 GB Hauptspeicher. Zusätzlich sollten Sie die Bereitstellung eines Anwendungshosts in Betracht ziehen, um auf alle Vorteile der UBA-Anwendung in Verbindung mit der aktivierten Anwendung für das maschinelle Lernen zugreifen zu können.
Wie kommen die Daten meines Unternehmens zu UBA?
UBA integriert sich direkt in die QRadar Security Analytics Lösung und nutzt die bestehende Benutzerschnittstelle und Datenbank von QRadar. Dadurch können alle unternehmensweiten Sicherheitsdaten an einem zentralen Ort verbleiben und Analyseteams können Regeln anpassen, Berichte erzeugen und Daten verknüpfen, ohne ein neues System lernen zu müssen.
Integriert sich UBA in meine anderen Tools?
Weil UBA die gleiche zugrunde liegende Datenbank nutzt wie QRadar, können sämtliche Datenquellen, die in QRadar aufgenommen wurden, auch für UBA angezeigt und genutzt werden.
Wie sieht die UBA-Architektur aus?
UBA wird als Paket aus 3 Anwendungen angeboten: 1 LDAP-Anwendung für die Aufnahme und Verschmelzung der Identitätsinformationen der User, 1 UBA-Anwendung für die Visualisierung der Daten und Analysen sowie 1 Anwendung für das maschinelle Lernen, die eine Bibliothek aus ML-Algorithmen bereitstellt. Die Algorithmen dienen der Entwicklung von Verhaltensmodellen für User-Aktivitäten.
Was ist Anomalieerkennung?
Anomalieerkennung ist ein Verfahren für die Identifizierung ungewöhnlicher Muster, die nicht dem erwarteten Verhalten entsprechen und sich erheblich vom Großteil der Daten unterscheiden.
Was ist ein Risikoscore?
Ein Risikoscore ist ein numerisches Maß für die potenzielle Schädlichkeit der Aktivitäten von Usern. Jedes von UBA erkannte anomale Verhalten hat Einfluss auf den Risikoscore eines Users.
Wie lange dauert es, die Maschinenlernmodelle zu trainieren?
Die Machine-Learning-Algorithmen nehmen die Daten der letzten vier Wochen aus der gemeinsam genutzten QRadar-Datenbank auf und benötigen typischerweise zwischen 3 und 24 Stunden, um daraus Modelle für das normale Verhalten zu entwickeln.
Kann UBA auch in QRadar in der Cloud bereitgestellt werden?
Die UBA-Anwendung lässt sich in der On-Premises-Version von QRadar, in QRadar in der Cloud und in jedem IaaS- oder hybriden Deployment bereitstellen.
Wie viel kostet die UBA-Anwendung?
Die UBA-Anwendung wird Kunden von QRadar ohne Zusatzkosten angeboten.
An wen kann ich mich für Hilfe mit UBA wenden?
Der IBM Support verfügt über dedizierte Ressourcen, die bei Problemen hoher Priorität helfen können. Die UBA-Anwendung beinhaltet einen Hilfe- und Support-Bereich für die Nutzung der Anwendungen für LDAP, UBA und ML-Analysen.
Wie schützt IBM Benutzerinformationen in UBA?
Wie bei allen QRadar-Anwendungen und Modulen werden die ruhenden Daten verschlüsselt.