功能聚焦
追踪网络犯罪份子行动的每一步
IBM® QRadar® Incident Forensics 有助于缩短取证和响应安全事件所需的时间。该产品易于使用,基本无需培训,旨在帮助 IT 安全团队快速高效地调查安全事件。它的数据收集功能不仅仅包括日志事件和网络流,还覆盖完整的数据包捕获以及采用数字方式存储的文档和元素。它还提供上下文信息,助您洞悉发动攻击的人员、目标、时间、地点和手法。
重建与安全事件相关的数据和证据
数据透视图功能有助于发现与事件相关的网络关系。可使用网络和文件元数据,以及数据包捕获数据 (PCAP) 的有效内容(包括来自网页和文档的文本)建立索引。过滤搜索结果,确保结果中仅包含与特定 QRadar 攻击相关的数据包,从而帮助分析师快速轻松地找到恶意流量。支持测试由 IBM X-Force® 等互联网威胁情报订阅源所发现的攻击。
与 IBM QRadar Security Intelligence Platform 集成
可使用具有右键点击集成功能的 QRadar 单一控制台用户界面,满足数据包捕获搜索请求。内置的点击式工具可以帮助您根据 IP 或 MAC 地址、电子邮件、聊天和社交媒体身份,更加深入地分析和直观呈现扩展的关系或数字印记。
客户实际运用情况
-
追踪网络犯罪份子的行踪
问题
辨别与事件真正相关的可疑活动。
解决方案
识别网络犯罪分子的活动,深入洞悉入侵的影响,帮助防止类似事件再次发生。
-
重建受到安全攻击的数据
问题
确定安全事件的完整范围。
解决方案
编制有关安全事件的证据概要信息,找到补救措施。重建与安全事件相关的数据,深入揭示攻击活动的每个步骤。通过类似于互联网搜索引擎的界面简化查询流程。
-
节省时间和成本
问题
取证采用手动流程,需要专用的工具和专门的技术技能。
解决方案
IT 安全团队能够快速轻松地开展彻底的取证调查,洞悉安全违规事件背后的具体情况,而无需具备特殊技能或参加特殊培训。
-
利用现有基础架构
问题
不得不使用不同的系统和工具,祈祷能找到与攻击的联系。
解决方案
可选择使用现有的 PCAP 基础架构或获取 QRadar Incident Forensics 专用的新系统。
技术详细信息
技术规范
操作系统:Red Hat Enterprise Linux (RHEL) Server 6。先决条件:IBM Security QRadar SIEM 7.2.2 和未来修订包。
硬件需求
IBM QRadar Incident Forensics 可作为硬件、软件或虚拟设备提供。确保您有权访问以下硬件:
- 显示器和键盘,或串行控制台