概述

这些 IBM Security QRadar 附加组件通过让您更深入地洞察企业的 IT 安全性并采取更加积极主动的措施,增强了您的安全信息和事件管理 (SIEM) 解决方案的功能。

IBM QRadar User Behavior Analytics

IBM QRadar Advisor with Watson

IBM QRadar Incident Forensics

IBM QRadar Data Store

IBM QRadar Data Synchronization 应用

客户成功案例

常见问题解答

如何配置 Data Store 以将用于存储的数据与用于分析的数据分开?

使用 QRadar 中的简单收集过滤器来配置 Data Store。 通过从数据源中选择数据源或事件条件,您可以轻松定义将哪些数据直接发送到 Data Store。 该过滤器可随时更换,并立即投入使用。

从 App Exchange 安装的应用是否使用 Data Store 数据?

有些使用,有些则不使用。 由于 Data Store 数据未经过分析或关联,分析驱动的应用可能无法充分利用使用 Data Store 收集的数据。 所有其他功能,如报告、解析、自定义属性和仪表板,都应该按预期工作。

使用 Data Store 需要哪个版本的 QRadar?

客户必须使用 QRadar 7.3.1 或更高版本。

哪些类型的设备支持 Data Store 功能?

Data Store 是一种 QRadar 许可覆盖,它使用事件处理器和数据节点上的现有存储和处理能力来收集、处理和存储为 Data Store 识别的数据。 无需使用新设备,但可以购买额外的数据节点来支持数据存储需求。

QRadar 的哪些功能可用于 Data Store 收集到的数据?

Data Store 主要用于日志管理,因此它的数据被排除在相关性和高级安全分析功能之外。但是,其他大多数功能(例如搜索、报告和可视化)以及使用 QRadar App Framework 构建的定制应用都可以使用 Data Store 数据。

使用 Data Store 收集的数据是否可以转换,并在日后用于安全用例?

Data Store 数据不能用于历史关联。但是,可以轻松更改将 Data Store 数据与 SIEM 数据分开的过滤策略。一旦更新策略,所有未来收集的数据都将包括在 QRadar 的所有分析和关联流程中。

安装 User Behavior Analytics (UBA) 是否具有先决条件?

是。 如果要在 QRadar 控制台上运行,那么 UBA 应用需要最少 64 GB、最多 128 GB 的内存。此外,考虑部署应用主机,以在启用机器学习应用的情况下获取运行 UBA 应用的全部优势。

如何将组织的数据导入 UBA?

UBA 直接集成到 QRadar Security Analytics 解决方案中,因此可利用现有的 QRadar 用户界面和数据库。所有企业级安全数据都可以保留在一个中央位置,分析人员可以调整规则、生成报告和连接数据,而无需学习新系统。

UBA 是否可与其他工具集成?

由于 UBA 与 QRadar 共享相同的基础数据库,因此在 QRadar 中提取的任何数据源均可公开显示并用于 UBA。

什么是 UBA 架构?

UBA 被打包为由 3 个应用组成的集合,1 个 LDAP 应用可帮助提取和合并用户的身份信息,1 个 UBA 应用可帮助实现数据和分析可视化,1 个机器学习应用则提供用于创建用户活动行为模型的机器学习算法库。

什么是异常检测?

异常检测方法用于发现不符合预期行为并与大多数数据明显不一致的异常模式。

什么是风险分数?

风险分数是衡量用户活动潜在危害的数值。 UBA 检测到的每个异常行为都会影响单个用户的风险分数。

机器学习模型需要经过多长时间的训练?

机器学习算法会从共享的 QRadar 数据库中提取过去 4 周的数据,通常需要 3 到 24 小时来构建正常行为模型。

能否在 QRadar on Cloud 中部署 UBA?

UBA 应用可以部署在本地 QRadar、QRadar on Cloud 或者任何 IaaS 或混合部署中。

UBA 应用的费用是多少?

UBA 应用免费提供给 QRadar 客户。

我可以在哪里获得有关 UBA 的帮助?

IBM 支持部门拥有专门的资源,可帮助解决高优先级问题。UBA 应用包括一个帮助和支持部分,以便使用 LDAP、UBA 和机器学习分析应用。

IBM 如何保护 UBA 中的用户信息?

与所有 QRadar 应用和模块一样,数据在静态存储时都加密。