概述

一个事件开始、经过和结束的完整视图

QRadar SIEM 不仅记录日志事件,如用户登录或 VPN 连接,还记录流数据,即可能持续数秒到数天的网络活动,例如流式传输电影。 这一独特的功能有助于 QRadar SIEM 提供涵盖您整个安全环境的全面可见性,包括本地数据中心、云端、SaaS 应用程序和员工端点,从而限制恶意活动可能隐藏的盲点。

通过设备支持模块 (DSM)、网络行为收集设备、威胁情报源和漏洞扫描器等多个集成点,进一步扩展 QRadar SIEM 威胁检测功能。

优点

获取全面可见性

查看整个环境中的安全数据,以消除威胁。

加速补救措施

获取可能渗入您环境的全球威胁的最新情报。

为您的环境提供主动安全保护

从漏洞扫描程序接收自动发出的漏洞警报和补丁警报。

集成类型

事件日志源

访问 450 多个设备支持模块(DSM)和 370 多个应用程序

网络威胁移动迅速。 与市场上的其他 SIEM 不同,QRadar SIEM 自动解析日志源的事件并将其标准化为标准分类格式。 为此,QRadar SIEM 会自动检测超过 450 个 DSM 模块(从 Amazon 到 Zscaler),这些模块均包含在安装包内 QRadar 并得到 IBM 的支持。

QRadar SIEM 通过使用 syslog、syslog-tcp 和 SNMP 等协议接收来自日志源的事件。  QRadar SIEM 还可以使用 SCP、SFTP、FTP、JDBC、Check Point OPSEC 和 SMB/CIFS 等协议设置出站连接来检索事件。

有关面向 QRadar SIEM 的其他 IBM 和 Business Partner 应用程序的详细信息,请访问 IBM App Exchange(ibm.com 网站之外的链接)。

网络行为收集设备

使用网络行为收集设备保护您的网络安全

QRadar SIEM 可以从许多不同类型的网络数据源或流源(分为内部或外部源)接收数据流。 这为您的网络提供了更深入的视角,有助于消除盲点。

支持以下外部流协议:

漏洞扫描程序

快速识别威胁并确定优先级

与漏洞数据的集成有助于 QRadar SIEM 更好地了解您环境中的资产,从而确定警报的优先级并减少误报。 此外,漏洞评估扫描程序可以为网络资产提供漏洞评估配置文件。

威胁情报源

未雨绸缪,应对全球威胁

QRadar SIEM 使用威胁情报源和漏洞扫描程序的集成来获得确定威胁优先级所需的详细上下文信息。 威胁情报源就全球发现的最新威胁向 QRadar SIEM 提供最新信息,这样,您就可以采取主动来保护您的环境安全。

定制集成

构建您自己的集成

如果您环境中的系统还不具备集成支持,那么 QRadar SIEM 支持您为数据源创建定制解析器。 您还可以使用 QRadar SIEM Universal Cloud Rest API 从各种 REST API 中收集事件,用于不太常见的数据源,这些数据源没有特定的 DSM 或协议。

常见问题

获取关于本产品最为常见问题的答案。

日志事件和流数据之间的区别是什么?其重要性是什么?

全面了解您网络中发生的情况非常重要。

事件数据代表在用户环境中的单个时间点发生的日志事件,例如用户登录、电子邮件、VPN 连接、防火墙拒绝、代理连接等。

流数据是网络上两个主机之间的网络活动信息或会话信息。 QRadar SIEM 将来自 IP 地址、端口、字节和数据包计数以及其他信息的原始数据转换或标准化为流记录。 除了收集基本流信息外,QRadar SIEM 上的 QRadar Network Insights (QNI) 组件还提供完整的数据包捕获。

事件和流数据之间的一个关键区别是每个数据类型能够表示的时间段。 某个事件在特定时间发生,该事件就会在这个时间被记录。 流是两个主机之间的网络活动,可以持续数秒、数分钟、数小时或数天,具体取决于会话中的活动。 例如,下载多个文件(如图像、广告和视频)的 web 请求会持续 5 到 10 秒,或用户使用流媒体服务观看电影。

QRadar SIEM 为您的安全分析师提供从事件开始、经过到结束的完整视图。

什么是内部流源,它们是如何工作的?

内部流源从连接到 Napatech 或网络接口卡的网络分接设备、SPAN 端口或镜像端口收集原始数据包。 这些源提供网络上出现的数据包数据,并将其发送到流收集设备上的监控端口,该端口将数据包数据转换为 QRadar SIEM 中使用的流记录。

什么是外部流源,它们是如何工作的?

外部流源,例如发送通用网络监控协议(包括 NetFlow、IPFIX、sFlow、J-flow 和 Packeteer 数据)的路由器,提供了与内部流源不同级别的可见性。 例如,NetFlow 记录可以提供数据包交叉的路由器接口以及始发网络的 ASN 记录编号。 使用 IPFIX 时,可以将未解析为规范化字段的其他字段作为名称值对放入有效负载,然后将其用作自定义属性。

什么是设备支持模块 (DSM)?

设备支持模块 (DSM) 是一个插件文件,QRadar SIEM 可使用该文件收集来自第三方安全产品的事件。

DSM 是否自动更新?

是的,QRadar SIEM 根据供应商产品更新为 IBM 支持的 DSM 提供自动更新,包括新的 DSM 版本、解析问题的更正和协议更新。 有关自动更新 DSM 的详细信息,请参阅此处