概述

IBM Security QRadar 的这些附加组件能增强企业的洞察力,并赋予更主动的 IT 安全管理,进而增强“安全信息与事件管理”(SIEM) 解决方案的各项功能。

IBM QRadar User Behavior Analytics

IBM QRadar Advisor with Watson

IBM QRadar Incident Forensics

IBM QRadar Data Store

IBM QRadar Data Synchronization 应用程序

客户故事

常见问题

为了将待存储数据与待分析数据隔离开,Data Store 应当如何配置?

采用 QRadar 中一个简单的过滤设置即可对 Data Store 进行配置。 选择数据源或从数据源中选择事件标准,就可轻松定义哪些数据可直接发送至 Data Store。 这个过滤设置可随时修改,更改后立刻生效。

从 App Exchange 下载安装的应用程序能否使用 Data Store 数据?

有些能使用,有些不能使用。 因为 Data Store 的数据并未经过分析或关联,分析驱动型应用程序可能无法完全利用 Data Store 收集到的数据。 所有其他功能,如报告、语法分析、定制属性和仪表板,都能正常工作。

为了使用 Data Store ,需要采用 QRadar 的哪个版本?

客户的 QRadar 版本必须达到 7.3.1 或以上。

Data Store 需要什么类型的设备支持才能发挥作用?

Data Store 是一个 QRadar 许可授权的叠置层,它运用事件处理器和数据节点上现有的存储和处理能力来收集、处理和存储适用于自己的数据。 无需加配新设备,但为了满足数据存储需求,可能需购买额外的数据节点。

QRadar 的哪些功能会用到 Data Store 收集到的数据?

Data Store 的主要用途是日志管理,所以相关性分析和高级安全性分析功能不用 Data Store 数据。 但是,Data Store 数据可以在其他大多数功能中派上用场,例如搜索、报告和可视化以及用 QRadar App Framework 建构的自定义应用程序。

Data Store 收集到的数据是否可以转化、以便今后在安全用例中使用?

Data Store 数据不可用于进行历史相关性分析。 但是,负责将 Data Store 数据与 SIEM 数据分离开来的过滤策略很容易修改。 该策略一旦更新,之后收集到的所有数据将被纳入 QRadar 内所有的分析和关联流程中。

安装 User Behavior Analytics(用户行为分析,简称 UBA)是否需满足一定的前提条件?

是的。如果在 QRadar 控制面板上运行,UBA 应用程序需要最少 64 GB、最多 128 GB 内存空间。 此外,为了充分发挥运行 UBA 应用程序(在启用机器学习应用程序的情况下)的好处,还要考虑部署一个应用程序主机 (AppHost)。

如何将企业的数据导入 UBA 中?

UBA 直接集成至 QRadar Security Analytics 解决方案中,现有的 QRadar 用户接口和数据库皆可为其所用。 整个企业的安全数据依然集中存储在一个地方,分析人员在原系统内就能调试规则、生成报告并连接数据,无需花费精力学用新系统。

UBA 是否能与其他工具集成?

鉴于 UBA 与 QRadar 一样,可共享底层数据库,供应 QRadar 数据的所有数据源均可被 UBA 调取和使用。

UBA 的结构如何?

UBA 由三个应用程序打包而成:1 个 LDAP 应用程序,帮助提取、聚结用户身份信息;1 个 UBA 应用程序,帮助实现数据可视化和分析;1 个机器学习应用程序,提供一个机器学习算法库,存放创建用户活动的行为模型的算法。

什么是异常检测?

异常检测是一种技术,用于识别与预期行为不符、与大多数的数据存在显著差异的异常模式。

什么是风险分数?

风险分数是量度用户行为潜在危害性的数字。 UBA 检测到的每个异常行为都会对某个用户的风险分数造成影响。

训练机器学习模型需要多长时间?

机器学习算法从共享的 QRadar 数据库中提取过去 4 周的数据,通常能在 3-24 小时内构建出正常行为模型。

UBA 能否部署到云端 QRadar 中?

UBA 应用程序可部署在本地 QRadar、云端 QRadar 以及任何以 IaaS 或混合形态部署的 QRadar 中。

UBA 应用程序如何收费?

UBA 应用程序免费开放给 QRadar 客户使用。

可向哪里寻求有关 UBA 的帮助?

IBM 支持部门设有专门的团队可帮助客户解决高优先级的问题。 UBA 应用程序中包含帮助和支持版块,介绍 LDAP、UBA 和机器学习分析应用程序的使用方法。

IBM 如何保护 UBA 中的用户信息?

与所有 QRadar 应用程序和模块一样,UBA 中的数据也会被静态加密。