Feature-Highlights

Rückverfolgung der Vorgehensweise von Cyberkriminellen Schritt für Schritt

IBM® QRadar® Incident Forensics verringert den Zeitaufwand für die Untersuchung von Sicherheitsverstößen und das Einleiten von Gegenmaßnahmen. Es lässt sich problemlos verwendet und erfordert nur minimalen Schulungsbedarf, sodass die mit der IT-Sicherheit betrauten Teams Sicherheitsverstöße schnell und effizient untersuchen können. Die Funktionen für die Datenerfassung gehen über Protokollereignisse und Abläufe im Netzwerk hinaus und schließen nun vollständige Paketaufzeichnungen sowie digital gespeicherte Dokumente und Elemente ein. Sie liefern Zusammenhänge und Einblicke darüber, von wem welcher Angriff wann, wo und wie durchgeführt wurde.

Wiederherstellung von Daten und Nachweisen zu einem Sicherheitsvorfall

Beinhaltet Daten-Pivoting zur Erkennung von Netzwerkabhängigkeiten im Zusammenhang mit einem Sicherheitsvorfall. Erstellt Indizes mithilfe von Netzwerk- und Dateimetadaten sowie den Nutzdateninhalten von PCAP (Packet Capture Data), z. B. Text von Webseiten und aus Dokumenten. Hilft Analysten bei der Filterung von Suchergebnissen, sodass nur Pakete zu einem bestimmten Sicherheitsverstoß in QRadar aufgenommen werden können. So kann schädlicher Datenverkehr schnell und einfach ermittelt werden. Ermöglicht das Testen von Angriffen, die über Threat Intelligence-Feeds im Internet identifiziert werden, z. B. IBM X-Force®.

Integration mit der IBM QRadar Security Intelligence-Plattform

Nutzt die Benutzeroberfläche mit zentraler Konsole in QRadar, bei der über eine Integrationsfunktion mit der rechten Maustaste Daten in eine Suchanforderung zur Paketaufzeichnung aufgenommen werden können. Enthält Point-and-Click-Tools für umfassende Analysen und die Darstellung erweiterter Beziehungen oder digitale Darstellungen basierend auf IP- oder MAC-Adressen, E-Mails, Chats und Identitäten in sozialen Netzwerken.

Zusammenarbeit und Management zur Vermeidung von Sicherheitsbedrohungen

Ermöglichen Sie den Zugriff auf IBM Security App Exchange.

Technische Details

Softwarevoraussetzungen

Weitere Informationen zur Hardware- und Softwarekompatibilität finden Sie in den detaillierten Systemvoraussetzungen im Installationshandbuch für IBM Security QRadar Incident Forensics.

    Hardwarevoraussetzungen

    QRadar® Incident Forensics wird als Hardware, Software oder virtuelle Appliance angeboten. Stellen Sie sicher, dass Sie Zugriff auf folgende Hardwarekomponenten haben:

    Unterbrechungsfreie Stromversorgung (USV) für alle Systeme, auf denen Daten gespeichert werden, z. B. QRadar-Konsole, Komponenten des Ereignisprozessors oder Komponenten von QRadar QFlow Collector; Nullmodemkabel, wenn Sie das System mit einer seriellen Konsole verbinden möchten.

    QRadar-Produkte unterstützen hardwarebasierte RAID-Implementierungen (Redundant Array of Independent Disks), allerdings keine softwarebasierten RAID-Installationen.

    • Bildschirm und Tastatur oder eine serielle Konsole

    Technische Spezifikationen

    Betriebssystem: Red Hat Enterprise Linux (RHEL) Server 6. Voraussetzung: IBM Security QRadar SIEM 7.2.2 und künftige Fixpacks

    QRadar Incident Forensics ist in die IBM QRadar Security Intelligence-Plattform integriert. Bei verteilten Installationen können Sie jetzt eine QRadar Incident Forensics-Appliance (IBM Security QRadar Incident Forensics-Prozessor) als verwalteten Host in eine QRadar-Appliance aufnehmen.

    Es gibt keinen primären oder sekundären QRadar Incident Forensics-Knoten mehr. Jeder QRadar Incident Forensics-Prozessor wird über die QRadar-Konsole verwaltet.