功能聚焦

追踪网络犯罪份子行动的每一步

IBM® QRadar® Incident Forensics 有助于缩短取证和响应安全事件所需的时间。该产品易于使用,基本无需培训,旨在帮助 IT 安全团队快速高效地调查安全事件。它的数据收集功能不仅仅包括日志事件和网络流,还覆盖完整的数据包捕获以及采用数字方式存储的文档和元素。它还提供上下文信息,助您洞悉发动攻击的人员、目标、时间、地点和手法。

重建与安全事件相关的数据和证据

数据透视图功能有助于发现与事件相关的网络关系。可使用网络和文件元数据,以及数据包捕获数据 (PCAP) 的有效内容(包括来自网页和文档的文本)建立索引。过滤搜索结果,确保结果中仅包含与特定 QRadar 攻击相关的数据包,从而帮助分析师快速轻松地找到恶意流量。支持测试由 IBM X-Force® 等互联网威胁情报订阅源所发现的攻击。

与 IBM QRadar Security Intelligence Platform 集成

可使用具有右键点击集成功能的 QRadar 单一控制台用户界面,满足数据包捕获搜索请求。内置的点击式工具可以帮助您根据 IP 或 MAC 地址、电子邮件、聊天和社交媒体身份,更加深入地分析和直观呈现扩展的关系或数字印记。

支持威胁预防协作与管理

允许访问 IBM Security App Exchange。

客户实际运用情况

  • 事件取证的截屏

    追踪网络犯罪份子的行踪

    问题

    辨别与事件真正相关的可疑活动。

    解决方案

    识别网络犯罪分子的活动,深入洞悉入侵的影响,帮助防止类似事件再次发生。

  • IBM QRadar 中强制检测的截屏

    重建受到安全攻击的数据

    问题

    确定安全事件的完整范围。

    解决方案

    编制有关安全事件的证据概要信息,找到补救措施。重建与安全事件相关的数据,深入揭示攻击活动的每个步骤。通过类似于互联网搜索引擎的界面简化查询流程。

  • 事件取证图形的截屏

    节省时间和成本

    问题

    取证采用手动流程,需要专用的工具和专门的技术技能。

    解决方案

    IT 安全团队能够快速轻松地开展彻底的取证调查,洞悉安全违规事件背后的具体情况,而无需具备特殊技能或参加特殊培训。

  • 事件概述的截屏

    利用现有基础架构

    问题

    不得不使用不同的系统和工具,祈祷能找到与攻击的联系。

    解决方案

    可选择使用现有的 PCAP 基础架构或获取 QRadar Incident Forensics 专用的新系统。

技术详细信息

技术规范

操作系统:Red Hat Enterprise Linux (RHEL) Server 6。先决条件:IBM Security QRadar SIEM 7.2.2 和未来修订包。

软件需求

有关硬件兼容性信息,请参阅 IBM Security QRadar Incident Forensics 安装指南中的详细系统需求。

硬件需求

IBM QRadar Incident Forensics 可作为硬件、软件或虚拟设备提供。确保您有权访问以下硬件:

  • 显示器和键盘,或串行控制台