Übersicht

Eine Gesamtsicht von Anfang, Mitte und Ende eines Ereignisses

QRadar SIEM zeichnet neben Protokollereignissen wie Benutzeranmeldungen oder VPN-Verbindungen auch Flussdaten auf – Netzwerkaktivität über Sekunden bis zu Tagen, wie z. B. das Streamen eines Films. Dank dieser speziellen Fähigkeit bietet QRadar SIEM einen umfassenden Einblick in Ihre Sicherheitslandschaft mit lokalen Rechenzentren, Clouds, SaaS-Anwendungen und Mitarbeiterendpunkten, und reduziert damit blinde Flecke mit möglicherweise versteckten bösartigen Aktivitäten.

Erweitern Sie Ihre QRadar-SIEM-Funktionen zur Erkennung von Bedrohungen durch mehrere Integrationspunkte wie Geräte-Support-Module (DSM), Geräte zur Erfassung des Netzwerkverhaltens, Threat-Intelligence-Feeds und Schwachstellen-Scanner.

Vorteile

Umfassende Transparenz gewinnen

Sicherheitsdaten der gesamten Umgebung einsehen, um Lücken vor Bedrohungen zu schließen.

Schnellere Abhilfe

Aktuelle Informationen über weltweite Bedrohungen erhalten, die in Ihr geschütztes Umfeld eindringen könnten.

Proaktive Sicherung Ihrer Umgebung

Schwachstellenscanner ermöglichen Ihnen einen automatischen Empfang von Schwachstellen- und Patch-Warnungen.

Integrationsarten

Ereignisprotokoll-Quellen

Zugriff auf mehr als 450 Einheitenunterstützungsmodule (DSM) und mehr als 370 Anwendungen

Sich schnell ausbreitende Bedrohungen. Im Gegensatz zu anderen SIEMs analysiert und harmonisiert QRadar SIEM die Ereignisse einer Protokollquelle automatisch in ein Standard-Taxonomieformat. Dazu erkennt QRadar SIEM automatisch mehr als 450 DSM -Module, von Amazon bis Zscaler, die mit der Installation von QRadar einsatzbereit sind und von IBM unterstützt werden.

QRadar SIEM verarbeitet Ereignisse aus Protokollquellen unter Verwendung von Protokollen wie syslog, syslog-tcp und SNMP.  QRadar SIEM kann auch ausgehende Verbindungen zum Abrufen von Ereignissen mit Protokollen wie SCP, SFTP, FTP, JDBC, Check Point OPSEC und SMB/CIFS einrichten.

Weitere IBM und Business Partner Anwendungen für QRadar SIEM finden Sie unter IBM App Exchange (Link außerhalb ibm.com).

Geräte zur Erfassung des Netzwerkverhaltens

Schützen Sie Ihr Netzwerk mit Geräten zur Erfassung des Netzwerkverhaltens

QRadar SIEM empfängt die als intern oder extern definierten Datenströme aus unterschiedlichen Netzwerkdaten- oder Datenstromquellen. Dies verschafft einen tieferen Einblick in Ihr Netzwerk und hilft, Schwachstellen zu beseitigen.

Folgende externe Flow Protokolle werden unterstützt:

Schwachstellen-Scanner

Rasche Identifizierung und Einstufung von Bedrohungen

Die Integration von Schwachstellendaten hilft QRadar SIEM, mehr über die Ressourcen in Ihrer Umgebung zu erfahren, um Alarme einzustufen und Fehlalarme zu reduzieren. Darüber hinaus können Schwachstellenscanner Profile zur Bewertung der Schwachstellen von Netzressourcen erstellen.

Threat-Intelligence-Feeds

Neuen weltweiten Bedrohungen einen Schritt voraus sein

Für zusätzlichen Kontext bei der Einstufung von Bedrohungen, nutzt QRadar SIEM die Integration in Threat-Intelligence-Feeds und Schwachstellenscanner. QRadar SIEM nutzt Integrationen mit Threat Intelligence Feeds und Schwachstellenscannern, um zusätzlichen Kontext für die Priorisierung von Bedrohungen zu erhalten.

Benutzerdefinierte Integrationen

Eigene Integrationen erstellen

Falls in Ihrer Umgebung noch keine Integrationsunterstützung für ein System vorhanden ist, können Sie mit QRadar SIEM einen eigenen Parser für Ihre Datenquelle erstellen. Mit der QRadar SIEM Universal Cloud Rest APIkönnen Sie auch Ereignisse von verschiedenen REST-API für weniger gebräuchliche Datenquellen sammeln, die kein spezifisches DSM oder Protokoll haben.

Häufig gestellte Fragen

Hier erhalten Sie Antworten auf die am häufigsten gestellten Fragen zu diesem Produkt.

Was ist der Unterschied zwischen Protokollereignissen und Flussdaten und warum ist er wichtig?

Ein umfassender Überblick über die Vorgänge in Ihrem Netz ist wichtig.

Ereignisdaten sind Protokollereignisse, die zu einem bestimmten Zeitpunkt in der Umgebung eines Benutzers auftreten, z. B. Benutzeranmeldungen, E-Mails, VPN-Verbindungen, Firewall-Abweisungen, Proxy-Verbindungen usw.

Bei Flussdaten handelt es sich um eine Netzaktivität oder Sitzungsinformation zwischen zwei Hosts in einem Netzwerk. QRadar SIEM übersetzt oder standardisiert die Rohdaten aus IP-Adressen, Ports, Byte- und Paketzahlen und anderen Informationen in Datenflusssätzen. Zusätzlich zur Erfassung grundlegender Datenflussinformationen ist mit der QRadar Network Insights (QNI) -Komponente von QRadar SIEM eine vollständige Paketerfassung möglich.

Ein wesentlicher Unterschied zwischen Ereignis- und Flussdaten ist der Zeitraum, den jeder Datentyp darstellen kann. Ein Ereignis tritt zu einem bestimmten Zeitpunkt ein und wird zu diesem Zeitpunkt protokolliert. Ein Datenfluss ist eine Netzwerkaktivität zwischen zwei Hosts, die je nach Aktivität innerhalb der Sitzung Sekunden, Minuten, Stunden oder Tage dauern kann. Dies kann beispielsweise eine Webanfrage sein, bei der mehrere Dateien wie Bilder, Werbung und Videos heruntergeladen werden, alle 5 bis 10 Sekunden lang, oder die Wiedergabe eines Films über einen Streaming-Dienst.

Mit QRadar SIEM erhalten Ihre Sicherheitsanalysten eine Gesamtüberblick von Anfang, Mitte und Ende eines Ereignisses.

Was sind interne Datenflussquellen und wie funktionieren sie?

Interne Datenflussquellen sammeln Rohpakete von einem Netzwerkabgriffsgerät, einem SPAN-Port oder einem Mirror-Port, der mit einer Napatech- oder Netzwerkschnittstellenkarte verbunden ist. Diese Quellen senden die im Netzwerk anfallenden Paketdaten an einen Überwachungsport auf einem Gerät zur Datenflusssammlung, das die Paketdaten in Datenflusssätze zur Verwendung in QRadar SIEM umwandelt.

Was sind externe Datenflussquellen und wie funktionieren sie?

Externe Datenflussquellen, wie z. B. Router, die gängige Netzwerküberwachungsprotokolle, wie NetFlow, IPFIX, sFlow, J-Flow und Packeteer-Daten senden, bieten ein anderes Transparenzniveau als interne Datenflussquellen. So können die NetFlow-Datensätze sowohl die Router-Schnittstelle, die das Paket durchquert hat, als auch die ASN-Datensatznummern des Herkunftsnetzes enthalten. Mit IPFIX können zusätzliche Felder, die nicht in normalisierte Felder umgewandelt werden, als Name-Wert-Paare in die Nutzdaten eingefügt werden, die dann als benutzerdefinierte Eigenschaften verwendet werden können.

Was ist ein Einheitenunterstützungsmodul (DSM)?

Ein Einheitenunterstützungsmodul (DSM) ist eine Plug-in-Datei, mit der QRadar SIEM Ereignisse von Sicherheitsprodukten anderer Hersteller sammeln kann.

Werden DSMs automatisch aktualisiert?

Ja, QRadar SIEM stellt automatische Updates für die von IBM unterstützten DSMs gemäß den Produktaktualisierungen des Herstellers bereit - einschließlich neuer DSM-Versionen, Korrekturen von Parsing-Problemen und Protokoll-Updates. Weiter Informationen zum automatischen DSM-Update finden Sie hier.