功能聚焦

追踪网络犯罪份子行动的每一步

IBM® QRadar® Incident Forensics 有助于缩短取证和响应安全事件所需的时间。该产品易于使用,基本无需培训,旨在帮助 IT 安全团队快速高效地调查安全事件。它的数据收集功能不仅仅包括日志事件和网络流,还覆盖完整的数据包捕获以及采用数字方式存储的文档和元素。它还提供上下文信息,助您洞悉发动攻击的人员、目标、时间、地点和手法。

重建与安全事件相关的数据和证据

数据透视图功能有助于发现与事件相关的网络关系。可使用网络和文件元数据,以及数据包捕获数据 (PCAP) 的有效内容(包括来自网页和文档的文本)建立索引。过滤搜索结果,确保结果中仅包含与特定 QRadar 攻击相关的数据包,从而帮助分析师快速轻松地找到恶意流量。支持测试由 IBM X-Force® 等互联网威胁情报订阅源所发现的攻击。

与 IBM QRadar Security Intelligence Platform 集成

可使用具有右键点击集成功能的 QRadar 单一控制台用户界面,满足数据包捕获搜索请求。内置的点击式工具可以帮助您根据 IP 或 MAC 地址、电子邮件、聊天和社交媒体身份,更加深入地分析和直观呈现扩展的关系或数字印记。

支持威胁预防协作与管理

允许访问 IBM Security App Exchange。

技术详细信息

软件需求

有关硬件和软件兼容性的信息,请参阅《IBM Security QRadar Incident Forensics 安装指南》中的详细系统需求。

    硬件需求

    QRadar® Incident Forensics 可作为硬件、软件或虚拟设备提供。 请确保您有权使用以下硬件组件:

    不间断电源 (UPS),为所有用于存储数据的系统提供支持,例如 QRadar Console、Event Processor 组件或 QRadar QFlow Collector 组件;如果您希望将系统连接到串行控制台,请使用零调制解调器电缆。

    QRadar 产品支持基于硬件的“独立磁盘冗余阵列”(RAID) 实施,但不支持基于软件的 RAID 安装。

    • 显示器和键盘,或串行控制台

    技术规范

    操作系统:Red Hat Enterprise Linux (RHEL) Server 6。必备软件: IBM Security QRadar SIEM 7.2.2 和未来的修订包

    QRadar Incident Forensics 已集成到 IBM QRadar Security Intelligence Platform 中。对于分布式安装,现在可将 QRadar Incident Forensics 设备(IBM Security QRadar Incident Forensics 处理器)作为管理主机添加到 QRadar 设备中。

    QRadar Incident Forensics 节点不再有主辅之分。每个 QRadar Incident Forensics 处理器均由 QRadar 控制台进行管理。