附加组件

有些使用，有些则不使用。 由于 Data Store 数据未经过分析或关联，分析驱动的应用可能无法充分利用使用 Data Store 收集的数据。 所有其他功能，如报告、解析、自定义属性和仪表板，都应该按预期工作。

客户必须使用 QRadar 7.3.1 或更高版本。

Data Store 是一种 QRadar 许可覆盖，它使用事件处理器和数据节点上的现有存储和处理能力来收集、处理和存储为 Data Store 识别的数据。 无需使用新设备，但可以购买额外的数据节点来支持数据存储需求。

Data Store 主要用于日志管理，因此它的数据被排除在相关性和高级安全分析功能之外。但是，其他大多数功能（例如搜索、报告和可视化）以及使用 QRadar App Framework 构建的定制应用都可以使用 Data Store 数据。

Data Store 数据不能用于历史关联。但是，可以轻松更改将 Data Store 数据与 SIEM 数据分开的过滤策略。一旦更新策略，所有未来收集的数据都将包括在 QRadar 的所有分析和关联流程中。

是。 如果要在 QRadar 控制台上运行，那么 UBA 应用需要最少 64 GB、最多 128 GB 的内存。此外，考虑部署应用主机，以在启用机器学习应用的情况下获取运行 UBA 应用的全部优势。

UBA 直接集成到 QRadar Security Analytics 解决方案中，因此可利用现有的 QRadar 用户界面和数据库。所有企业级安全数据都可以保留在一个中央位置，分析人员可以调整规则、生成报告和连接数据，而无需学习新系统。

由于 UBA 与 QRadar 共享相同的基础数据库，因此在 QRadar 中提取的任何数据源均可公开显示并用于 UBA。

UBA 被打包为由 3 个应用组成的集合，1 个 LDAP 应用可帮助提取和合并用户的身份信息，1 个 UBA 应用可帮助实现数据和分析可视化，1 个机器学习应用则提供用于创建用户活动行为模型的机器学习算法库。

异常检测方法用于发现不符合预期行为并与大多数数据明显不一致的异常模式。

风险分数是衡量用户活动潜在危害的数值。 UBA 检测到的每个异常行为都会影响单个用户的风险分数。

机器学习算法会从共享的 QRadar 数据库中提取过去 4 周的数据，通常需要 3 到 24 小时来构建正常行为模型。

UBA 应用可以部署在本地 QRadar、QRadar on Cloud 或者任何 IaaS 或混合部署中。

UBA 应用免费提供给 QRadar 客户。

IBM 支持部门拥有专门的资源，可帮助解决高优先级问题。UBA 应用包括一个帮助和支持部分，以便使用 LDAP、UBA 和机器学习分析应用。

与所有 QRadar 应用和模块一样，数据在静态存储时都加密。