QRadar Network Threat Analytics アプリケーション

IBM® QRadar® Network Threat Analytics は、ネットワーク内のフロー・レコードを継続的にモニターして、異常なトラフィックを識別します。 ホーム・ページには、ネットワーク上で通常観測される他のフロー・レコードからどのフロー・レコードが最も逸脱しているかを示す視覚化が用意されています。 この視覚化により、ネットワーク上での疑わしい動作を示す可能性があるフローを素早く特定し、調査に優先順位を付けることができます。

QRadar Network Threat Analytics アプリケーションについて詳しくは、 IBM Security Learning Academy Web サイトのビデオをご覧ください。 ビデオを登録して視聴するには、 IBMid アカウントが必要です。

QRadar でのフロー・データ分析

IBM QRadar は、ネットワーク内のデバイスが相互に通信する方法に関する情報を収集し、通信に関する情報を収集するためのフロー・レコードを作成します。 QRadar によって監視されるフローは、 「ネットワーク・アクティビティー」 タブに表示されます。 ほとんどのフローは、デバイス間の通常の通信を表し、環境への脅威になりませんが、一部のフローが、ネットワーク上の疑わしいアクティビティーの指標となる場合があります。

QRadar Network Threat Analytics は、システム上のフロー・レコードを分析して通常のトラフィック・パターンを判別し、すべての着信フローを、アプリケーションによって作成された最新のネットワーク・ベースラインと比較します。 各フローには、フロー属性値、およびネットワーク上で通信のタイプが監視される頻度に基づいて、異常値スコアが割り当てられます。 異常値スコアが高いほど、ベースライン・データ・セットと比較してフローの異常度が高くなります。

QRadar Network Threat Analytics は、どのトラフィックが問題または悪意を持つ可能性があるかについてのセキュリティー・アサーションを行いません。

フロー内のネットワーク・メタデータおよびアプリケーション・コンテンツの詳細な分析には、 IBM QRadar Network Insightsを使用できます。 QRadar Network Insights によって提供されるフロー検査レベルの向上により、疑わしいアクティビティーを検出し、コンテンツを抽出して、潜在的なネットワーク脅威アクティビティーに対する可視性をさらに高めることができます。 詳しくは、 QRadar Network Insights の概要を参照してください。