Überblick

Diese IBM Security QRadar-Add-ons erweitern die Funktionen Ihrer SIEM-Lösung (Security Information and Event Management), indem sie Ihnen bessere Einblicke und eine proaktivere Rolle in Bezug auf die IT-Sicherheit Ihres Unternehmens ermöglichen.

IBM QRadar User Behavior Analytics

IBM QRadar Advisor with Watson

IBM QRadar Incident Forensics

IBM QRadar Data Store

IBM QRadar Data Synchronization App

Kundenreferenzen

Häufig gestellte Fragen

Wie wird Data Store so konfiguriert, dass Daten zur Speicherung von Daten für Analysen getrennt werden?

Data Store wird mit einem einfachen Erfassungsfilter in QRadar konfiguriert. Durch Auswahl der Datenquelle oder der Ereigniskriterien aus der Datenquelle können Sie einfach und unkompliziert festlegen, welche Daten direkt an den Data Store gesendet werden. Dieser Filter kann jederzeit geändert und umgehend in der Produktionsumgebung übernommen werden.

Verwenden die Apps, die ich aus der App Exchange installiere, Data-Store-Daten?

Einige ja und andere nein. Da Data Store-Daten nicht analysiert oder korreliert werden, können analytische Anwendungen die mit Data Store erfassten Daten möglicherweise nicht vollständig nutzen. Alle anderen Funktionen, z. B. Reporting, Parsing, benutzerdefinierte Eigenschaften und Dashboards, sollten wie erwartet funktionieren.

Welche Version von QRadar wird zur Verwendung von Data Store benötigt?

Kunden müssen QRadar 7.3.1 oder höher verwenden.

Welche Arten von Appliances unterstützen das Funktionsspektrum von Data Store?

Data Store ist ein QRadar-Lizenzierungs-Overlay, das vorhandene Speicher- und Verarbeitungskapazitäten auf Event-Prozessoren und Datenknoten nutzt, um für Data Store identifizierte Daten zu sammeln, zu verarbeiten und zu speichern. Es sind keine neuen Geräte erforderlich, aber es können zusätzliche Datenknoten erworben werden, um den Datenspeicherbedarf zu decken.

Welche Funktionen von QRadar funktionieren mit den über Data Store gesammelten Daten?

Data Store wird hauptsächlich für das Protokollmanagement verwendet, die zugehörigen Daten sind daher von Funktionen für die Korrelation und erweiterte Sicherheitsanalysen ausgeschlossen. Die Daten in Data Store können jedoch von den meisten anderen Funktionen wie Suche, Reporting und Visualisierung sowie von benutzerdefinierten Anwendungen, die mithilfe des QRadar App Framework erstellt wurden, genutzt werden.

Können mit Data Store erfasste Daten konvertiert und später für Sicherheitsanwendungsfälle verwendet werden?

Daten in Data Store können nicht für die Langzeit-Korrelation verwendet werden. Die Filterrichtlinie, mit der Daten in Data Store von SIEM-Daten getrennt werden, lässt sich jedoch auf einfache Weise anpassen. Sobald die Richtlinie angepasst wurde, werden alle künftig gesammelten Daten in alle Analyse- und Korrelationsprozesse in QRadar aufgenommen.

Gibt es Voraussetzungen für die Installation von User Behavior Analytics (UBA)?

Ja. Bei Ausführung auf einer QRadar-Konsole benötigt die UBA-App mindestens 64 GB bzw. bis zu 128 GB Speicher. Sie sollten außerdem den Einsatz eines App-Hosts in Betracht ziehen, um die Vorteile des Einsatzes der UBA-App mit aktivierter App für maschinelles Lernen voll nutzen zu können.

Wie bekomme ich die Daten meiner Firma in die UBA-App?

UBA integriert sich direkt in die QRadar Security Analytics-Lösung und nutzt dabei die vorhandene QRadar-Benutzeroberfläche und die Datenbank. Alle unternehmensweiten Sicherheitsdaten können an einem zentralen Ort verbleiben, und Analysten können Regeln anpassen, Berichte erstellen und Daten miteinander verbinden, ohne dabei ein neues System erlernen zu müssen.

Integriert sich UBA mit meinen anderen Tools?

Da UBA dieselbe zugrunde liegende Datenbank wie QRadar nutzt, kann jede Datenquelle, die in QRadar aufgenommen wird, auch für UBA aufbereitet und genutzt werden.

Was ist die UBA-Architektur?

UBA besteht aus drei Anwendungen: einer LDAP-Anwendung, die bei der Aufnahme und Zusammenführung der Identitätsdaten von Benutzern hilft, einer UBA-Anwendung, die bei der Visualisierung von Daten und Analysen hilft, und einer Anwendung für maschinelles Lernen, die eine Bibliothek mit Algorithmen für maschinelles Lernen zur Erstellung von Verhaltensmodellen für die Aktivitäten von Benutzern bereitstellt.

Was ist Anomalieerkennung?

Anomalieerkennung ist eine Technik, die verwendet wird, um ungewöhnliche Muster zu identifizieren, die nicht dem erwarteten Verhalten entsprechen und sich signifikant von der Mehrheit der Daten unterscheiden.

Was ist ein Risikoscore (Risikobewertung)?

Ein Risikoscore ist eine numerische Maßeinheit für die potenzielle Schädlichkeit der Aktivität eines Nutzers. Jedes anomale Verhalten, das von UBA erkannt wird, wirkt sich auf den Risikoscore des individuellen Benutzers aus.

Wie lange dauert es, die Modelle für maschinelles Lernen zu trainieren?

Die Algorithmen des maschinellen Lernens nehmen die Daten der letzten vier Wochen aus der gemeinsam genutzten QRadar-Datenbank auf und benötigen in der Regel zwischen 3 und 24 Stunden, um Modelle für normales Verhalten zu erstellen.

Kann UBA in QRadar on Cloud implementiert werden?

Die UBA-App kann in QRadar vor Ort, in QRadar on Cloud oder in beliebigen IaaS- oder Hybrid-Implementierungen bereitgestellt werden.

Wieviel kostet die UBA-App?

QRadar-Kunden erhalten die UBA-App ohne Zusatzkosten.

Wo kann ich Hilfe zu UBA bekommen?

IBM Support verfügt über dedizierte Ressourcen, die bei Problemen mit hoher Dringlichkeit helfen können. Die UBA-App enthält einen Hilfe- und Supportbereich für die Verwendung der LDAP-, UBA- und Analytik-Apps für das maschinelle Lernen.

Wie gewährleistet IBM die Sicherheit der Benutzerdaten in UBA?

Wie bei allen QRadar-Anwendungen und -Modulen werden die Daten im Ruhezustand verschlüsselt.