Feature-Highlights

Rückverfolgung der Vorgehensweise von Cyberkriminellen Schritt für Schritt

IBM® QRadar® Incident Forensics verringert den Zeitaufwand für die Untersuchung von Sicherheitsverstößen und das Einleiten von Gegenmaßnahmen. Die Lösung ist benutzerfreundlich und erfordert nur minimalen Schulungsaufwand, sodass die mit der IT-Sicherheit betrauten Teams Sicherheitsverstöße schnell und effizient untersuchen können. Die Funktionen für die Datenerfassung gehen über Protokollereignisse und Netzwerkdatenflüsse hinaus und schließen vollständige Paketaufzeichnungen sowie digital gespeicherte Dokumente und Elemente ein. Sie bieten Kontext und geben Aufschluss darüber, von wem welcher Angriff wann, wo und wie durchgeführt wurde.

Wiederherstellung von Daten und Nachweisen zu einem Sicherheitsvorfall

Beinhaltet Daten-Pivoting zur Erkennung von Netzwerkabhängigkeiten im Zusammenhang mit einem Sicherheitsvorfall. Erstellt Indizes mithilfe von Netzwerk- und Dateimetadaten sowie den Nutzdateninhalten von PCAP-Daten (Packet Capture), z. B. Text von Webseiten und aus Dokumenten. Hilft Analysten beim Filtern von Suchergebnissen, sodass nur Pakete im Zusammenhang mit einem bestimmten Sicherheitsverstoß in QRadar aufgenommen werden können. So kann schädlicher Datenverkehr schnell und einfach ermittelt werden. Ermöglicht das Testen von Angriffen, die über Threat Intelligence-Feeds im Internet identifiziert werden, z. B. IBM X-Force®.

Kombination mit der IBM QRadar Security Intelligence Platform

Nutzt die Benutzeroberfläche mit zentraler Konsole in QRadar, bei der über eine Integrationsfunktion mit der rechten Maustaste Daten in eine Suchanforderung zur Paketaufzeichnung aufgenommen werden können. Enthält Point-and-Click-Tools für detailliertere Analysen und die Darstellung erweiterter Beziehungen oder digitale Darstellungen basierend auf IP- oder MAC-Adressen, E-Mails, Chats und Identitäten in sozialen Netzwerken.

Zusammenarbeit und Management zur Vermeidung von Sicherheitsbedrohungen

Ermöglicht den Zugriff auf IBM Security App Exchange.

Nutzung durch Kunden

  • Rückverfolgung der einzelnen Schritte von Cyberkriminellen

    Problem

    Erkennung, welche verdächtige Aktivität wirklich für einen Sicherheitsvorfall relevant ist

    Lösung

    Durch die Ermittlung der Vorgehensweise von Cyberkriminellen erhalten Sie detaillierten Einblick in die Auswirkungen eines unbefugten Zugriffs und können ein nochmaliges Auftreten verhindern.

  • Wiederherstellen von Daten nach einem Angriff

    Wiederherstellen von Daten nach einem Angriff

    Problem

    Bestimmung des ganzen Ausmaßes eines Sicherheitsvorfalls

    Lösung

    Kompilieren Sie Profile von Sicherheitsvorfällen. Stellen Sie Daten im Zusammenhang mit einem Sicherheitsvorfall wieder her, um sich den Vorfall detailliert und Schritt für Schritt anzusehen. Vereinfachen Sie den Abfrageprozess mithilfe einer Schnittstelle, die einer Internet-Suchmaschine ähnelt.

  • Zeit- und Kosteneinsparungen

    Problem

    Forensische Untersuchungen erforderten bislang manuelle Prozesse, spezielle Tools und spezialisierte technische Kenntnisse.

    Lösung

    IT-Sicherheitsteams können schnell und einfach umfangreiche forensische Untersuchungen durchführen und erhalten Einblick in die Details eines Sicherheitsverstoßes, ohne dass hierfür spezielle Kenntnisse oder Schulungen erforderlich sind.

  • Nutzung der bestehenden Infrastruktur

    Problem

    Sie müssen unterschiedliche Systeme und Tools verwenden und hoffen, einen Zusammenhang mit Blick auf den Sicherheitsvorfall zu finden.

    Lösung

    Nutzen Sie optional die vorhandene PCAP-Infrastruktur oder erwerben Sie neue Systeme, die für QRadar Incident Forensics dediziert sind.

Technische Details

Softwarevoraussetzungen

Weitere Informationen zur Hardware- und Softwarekompatibilität finden Sie in den detaillierten Systemvoraussetzungen im Installationshandbuch für IBM Security QRadar Incident Forensics.

    Hardwarevoraussetzungen

    QRadar® Incident Forensics wird als Hardware, Software oder virtuelle Appliance angeboten. Stellen Sie sicher, dass Sie Zugriff auf folgende Hardwarekomponenten haben:

    Unterbrechungsfreie Stromversorgung (USV) für alle Systeme, auf denen Daten gespeichert werden, z. B. QRadar-Konsole, Komponenten des Ereignisprozessors oder Komponenten von QRadar QFlow Collector; Nullmodemkabel, wenn Sie das System mit einer seriellen Konsole verbinden möchten.

    QRadar-Produkte unterstützen hardwarebasierte RAID-Implementierungen (Redundant Array of Independent Disks), aber keine softwarebasierten RAID-Installationen.

    • Bildschirm und Tastatur oder eine serielle Konsole

    Technische Spezifikationen

    Betriebssystem: Red Hat Enterprise Linux (RHEL) Server 6. Voraussetzung: IBM Security QRadar SIEM 7.2.2 und künftige Fixpacks

    QRadar Incident Forensics ist in die IBM QRadar Security Intelligence Platform integriert. Bei verteilten Installationen können Sie jetzt eine QRadar Incident Forensics-Appliance (IBM Security QRadar Incident Forensics-Prozessor) als verwalteten Host in eine QRadar-Appliance aufnehmen.

    Es gibt keinen primären oder sekundären QRadar Incident Forensics-Knoten mehr. Jeder QRadar Incident Forensics-Prozessor wird über die QRadar-Konsole verwaltet.