Puntos destacados de la característica

Siga la pista de las acciones paso a paso de los ciberdelincuentes

IBM® QRadar® Incident Forensics reduce el tiempo necesario para investigar y responder a los incidentes de seguridad. Es fácil de utilizar y requiere formación mínima, lo que permite a los equipos de seguridad de TI investigar de forma rápida y eficiente los incidentes de seguridad. Sus funcionalidades de recopilación de datos se extienden más allá de los sucesos de registro y flujos de red para incluir capturas de paquetes completas y documentos y elementos almacenados digitalmente. Ayuda a proporcionar contexto y visibilidad sobre el quién, qué, cuándo, dónde y cómo de un ataque.

Reconstruya los datos y las pruebas relacionadas con un incidente de seguridad

Incluye oscilación de datos para ayudar a descubrir las relaciones de redes implicadas en un incidente. Crea índices utilizando metadatos de archivo y red y el contenido de carga útil de datos de captura de paquetes (PCAP), incluyendo el texto de páginas web y documentos. Ayuda a los analistas a filtrar los resultados de búsqueda para incluir solo los paquetes asociados a un ataque específico de QRadar, lo que permite localizar tráfico malicioso de forma rápida y sencilla. Habilita la realización de pruebas para ataques identificados por canales de inteligencia de amenazas de Internet como IBM X-Force®.

Se integra con IBM QRadar Security Intelligence Platform

Utiliza la interfaz de usuario de consola individual de QRadar con una funcionalidad de integración al pulsar el botón derecho para rellenar una solicitud de búsqueda de captura de paquetes. Incluye herramientas de apuntar y pulsar para realizar análisis exhaustivos y mejorar la visualización de relaciones ampliadas o impresiones digitales basadas en direcciones MAC o IP, correo electrónico, chat e identidades de redes sociales.

Habilite la gestión y la colaboración en la prevención de amenazas

Permita el acceso a IBM Security App Exchange.

Cómo lo utilizan otros clientes

  • Siga la pista de los ciberdelincuentes

    Problema

    Discernir qué actividad sospechosa realmente es relevante para un incidente.

    Solución

    Identifique las acciones de los ciberdelincuentes para proporcionar información de valor sobre las consecuencias de una intrusión y evitar que se repita.

  • Reconstruya los datos en un ataque a la seguridad

    Reconstruya los datos en un ataque a la seguridad

    Problema

    Determinar el alcance de un incidente de seguridad.

    Solución

    Compile perfiles probatorios sobre los incidentes de seguridad para aplicar medidas correctivas. Recree los datos relacionados con un incidente de seguridad para obtener una vista detallada paso a paso del ataque. Simplifique el proceso de consultas con una interfaz similar a un motor de búsqueda de Internet.

  • Ahorre tiempo y reduzca costes

    Problema

    La investigación ha sido manual, exigiendo herramientas especializadas y competencias técnicas especializadas.

    Solución

    Los equipos de seguridad de TI pueden dirigir de forma rápida y sencilla una investigación minuciosa y obtener visibilidad sobre los detalles de una brecha de seguridad, sin requerir formación ni conocimientos específicos.

  • Aproveche la infraestructura existente

    Problema

    Teniendo que utilizar distintos sistemas y herramientas y confiando encontrar una conexión para el ataque.

    Solución

    Opcionalmente, puede utilizar la infraestructura de PCAP existente o adquirir nuevos sistemas dedicados a QRadar Incident Forensics.

Detalles técnicos

Requisitos de software

Para obtener información sobre la compatibilidad de hardware y software, consulte los requisitos detallados del sistema en la Guía de instalación de IBM Security QRadar Incident Forensics.

    Requisitos de hardware

    QRadar® Incident Forensics está disponible como hardware, software o dispositivo virtual. Asegúrese de disponer de acceso a los siguientes componentes de hardware:

    Fuente de alimentación ininterrumpida (UPS) para todos los sistemas que almacenan datos, como QRadar Console, componentes de Event Processor o componentes de QRadar QFlow Collector; cable de módem nulo si quiere conectar el sistema a una consola.

    Los productos de QRadar dan soporte a implementaciones RAID (Redundant Array of Independent Disks) basadas en hardware, pero no dan soporte a instalaciones RAID basadas en software.

    • Monitor y teclado, o una consola de serie

    Especificaciones técnicas

    Sistema operativo: Red Hat Enterprise Linux (RHEL) Server 6. Requisito previo: IBM Security QRadar SIEM 7.2.2 y futuros fixpacks

    QRadar Incident Forensics se integra en IBM QRadar Security Intelligence Platform. Para instalaciones distribuidas, puede añadir un dispositivo de QRadar Incident Forensics (IBM Security QRadar Incident Forensics Processor) como host gestionado para un dispositivo QRadar.

    Ya no hay ningún nodo QRadar Incident Forensics primario ni secundario. La consola de QRadar gestiona todos los procesadores QRadar Incident Forensics.