Содержание


Учитесь правильно применять SIEM с помощью серии видеоруководств по QRadar

Редакция IBM® Security собрала воедино несколько видеоруководств по системе QRadar® Security Information and Event Management (SIEM) и сопутствующим продуктам, чтобы читатель мог получить четкое представление обо всех ее возможностях и, что еще важнее, научиться правильно применять SIEM в своей среде.

Эти видеолекции читает Хосе Браво из группы SWAT подразделения IBM Security Systems – он демонстрирует, как решать проблемы ИТ-безопасности из реальной жизни.

Получите четкое представление обо всех возможностях QRadar и научитесь решать проблемы ИТ-безопасности из реальной жизни.

Введение в информационную безопасность

Введение в информационную безопасность
Введение в информационную безопасность

Смотрите, как сделать SIEM центром управления своей системы ИТ-безопасности

В этой видеолекции Хосе Браво говорит о способности QRadar собирать контекст из различных источников для приоритезации обнаруженных уязвимостей.

Он излагает концепцию потоков в системах SIEM. Затем он обсуждает недостатки SIEM-систем большинства производителей, которые собирают данные только от уровней 2, 3 и 4 сетевого стека. Он рассказывает о компоненте QRadar QFlows, который добавляет к анализу потоков информацию уровня 7, и о том, как эти данные позволяют QRadar анализировать потоки с точки зрения приложения.

Он также рассказывает о компоненте QRadar VFlows, который подключается к трафику маршрутизации гипервизора на платформах виртуализации.

Далее, он рассказывает о базах данных управления ресурсами QRadar и способности системы автоматически выявлять ИТ-ресурсы в среде. Еще он говорит о способности QRadar контролировать события входа в систему для добавления к своему анализу измерения пользователей.

Затем он рассматривает вопросы интеграции QRadar с Guardium®, мейнфреймом SMF, службами оценки репутации IP-адресов, службами сообщений об источниках спама, системами управления учетными записями и сканерами уязвимостей.

Наконец, он говорит о способности QRadar Risk Manager помогать в приоритезации обнаруженных уязвимостей и о его интеграции со службой Trusteer для обнаружения подозрительной деятельности.

Работа с типичными нарушениями, выявленными QRadar SIEM

Работа с типичными нарушениями, выявленными QRadar SIEM
Работа с типичными нарушениями, выявленными QRadar SIEM

Как защитить ресурсы и информацию от современных угроз

QRadar содержит множество готовых правил для мониторинга среды заказчика. В большинстве случаев этот экран быстро заполняется выявленными нарушениями, которые требуют внимания.

Эти четыре видеоруководства знакомят с возможностями QRadar и его интуитивно понятным интерфейсом, показывая, что делать с наиболее часто выявляемыми нарушениями.

Знакомство с API QRadar за шесть минут

Знакомство с API QRadar за шесть минут
Знакомство с API QRadar за шесть минут

Программное управление QRadar для упрощения решения задач SIEM

В этой видеодемонстрации Хосе Браво сначала использует консоль QRadar для решения типичной задачи. Он открывает сохраненные результаты поиска по категории нарушений «высокого риска», чтобы получить текущий список обнаруженных опасных уязвимостей, и демонстрирует, как вызвать разные представления сохраненных результатов поиска.

Затем он демонстрирует, как можно решить ту же задачу программно. Он использует REST-клиент на своем компьютере Mac для демонстрации того, как задать URL-адрес для API на стороне клиента и как с помощью консоли QRadar создать необходимые жетоны аутентификации для авторизации приложения, генерирующего программные запросы. Затем он показывает, как настроить заголовки, необходимые для жетонов аутентификации. Далее, он устанавливает в клиенте маркер версии, чтобы сервер QRadar «знал», какую версию API вызывает клиент. Наконец, он демонстрирует, как запрограммировать клиент REST для вызова API сохраненных результатов поиска.

После того как запрос API настроен, он вызывает API с помощью REST-клиента, проверяет возвращаемый код и просматривает список опасных уязвимостей в результатах поиска.

Выполнение DNS-экспертизы с помощью модуля QRadar для безопасной работы с большими данными

Выполнение DNS-экспертизы с помощью модуля QRadar для безопасной работы с большими данными
Выполнение DNS-экспертизы с помощью модуля QRadar для безопасной работы с большими данными

Комбинирование QRadar, X-Force IP Reputation Feed и InfoSphere® BigInsights™ для создания систем на основе DNS-экспертизы

С новым расширением для больших данных QRadar может обрабатывать большие объемы неструктурированных данных, как показано в этой видеодемонстрации. Хосе Браво выполняет вариант DNS-экспертизы – он получает список всех доменов, которые посещали все сотрудники. Затем он сопоставляет его с данными IBM Security X-Force® IP Reputation Intelligence Feed и сведениями о регистрации каждого из этих доменов, полученными от службы whoisxmlapi.com. По результатам этого анализа он составляет три набора ссылок, которые вводятся в QRadar для создания или изменения существующих правил.

QRadar Vulnerability Manager в действии

QRadar Vulnerability Manager в действии
QRadar Vulnerability Manager в действии

Изучение сценариев из реальной жизни для управления мероприятиями по устранению уязвимостей и определения их приоритетности

В этой видеодемонстрации Хосе Браво использует пример из реальной установки QRadar Vulnerability Manager (QVM) и показывает, как подразделение ИТ-безопасности может использовать его для планирования своего рабочего дня. Хосе демонстрирует способность QVM показать на одном экране как типы уязвимостей, так и конкретные случаи. В ИТ-среде могут присутствовать десятки или даже сотни тысяч экземпляров уязвимостей, и QVM помогает специалистам по ИТ-безопасности расставить приоритеты в своей работе.

Браво показывает, как можно использовать QVM для фильтрации уязвимостей, по которым не зафиксировано недавнего трафика, и как отфильтровать уязвимости в зависимости от наличия в IPS-системах правил «виртуальных патчей», чтобы предотвратить возможность их эксплуатации. Он показывает, как QVM может читать данные SIEM с целью приоретезации экземпляров уязвимости, с которыми действительно связан трафик эксплойтов. Он также демонстрирует, как можно использовать QRadar Risk Manager для получения оценок рисков на основе правил в инфраструктуре и использования этих оценок для дальнейшей расстановки приоритетов в работе группы безопасности. Наконец, он демонстрирует способность QVM назначать задачи по управлению уязвимостями членам группы ИТ-безопасности и отслеживать принимаемые меры по устранению этих уязвимостей.

Расследование инцидентов ИТ-безопасности с помощью QRadar Forensics

Расследование инцидентов ИТ-безопасности с помощью QRadar Forensics
Расследование инцидентов ИТ-безопасности с помощью QRadar Forensics

Хосе Браво демонстрирует, как расследовать распространенные случаи нарушения безопасности

Он дает краткую характеристику двух существующих предложений QRadar, а затем представляет новые предложения IBM в области ИТ-экспертизы. Браво рассказывает о способности системы QRadar SIEM собирать сведения о миллиардах событий SIEM и комбинировать их с обнаруженными уязвимостями и внешними данными для выявления небольшого числа высокоприоритетных нарушений, которые необходимо расследовать.

Он отмечает, что система QRadar совершила революцию на рынке SIEM-решений, предоставив возможность решать задачи по ИТ-безопасности не специалистам в этой области. Он также говорит о способности QRadar Vulnerability Manager принимать обнаруженные уязвимости от сканеров приложений, из системы Guardium и многих других источников, комбинировать эту информацию со сведениями о топологии и правилами безопасности и выявлять группу приоритетных угроз, с которыми необходимо бороться.

Наконец, Браво представляет новое предложение IBM – систему QRadar Forensics, которая использует как структурированные, так и неструктурированные данные для поиска взаимосвязей, помогая в проведении расследований. Это позволяет проводить успешные расследования инцидентов ИТ-безопасности неспециалистам.


Ресурсы для скачивания


Похожие темы

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=40
Zone=Security
ArticleID=1022227
ArticleTitle=Учитесь правильно применять SIEM с помощью серии видеоруководств по QRadar
publish-date=11252015