Puntos destacados de la característica
Siga la pista de las acciones paso a paso de los ciberdelincuentes
IBM® QRadar® Incident Forensics reduce el tiempo necesario para investigar y responder a los incidentes de seguridad. Es fácil de utilizar y requiere formación mínima, lo que permite a los equipos de seguridad de TI investigar de forma rápida y eficiente los incidentes de seguridad. Sus funcionalidades de recopilación de datos se extienden más allá de los sucesos de registro y flujos de red para incluir capturas de paquetes completas y documentos y elementos almacenados digitalmente. Ayuda a proporcionar contexto y visibilidad sobre el quién, qué, cuándo, dónde y cómo de un ataque.
Reconstruya los datos y las pruebas relacionadas con un incidente de seguridad
Permite pivotar datos para ayudar a descubrir las relaciones de redes implicadas en un incidente. Crea índices utilizando metadatos de archivo y red y el contenido de carga útil de datos de captura de paquetes (PCAP), incluyendo el texto de páginas web y documentos. Ayuda a los analistas a filtrar los resultados de búsqueda para incluir solo los paquetes asociados a un ataque específico de QRadar, lo que permite localizar tráfico malicioso de forma rápida y sencilla. Habilita la realización de pruebas para ataques identificados por canales de inteligencia de amenazas de Internet como IBM X-Force®.
Se integra con IBM QRadar Security Intelligence Platform
Utiliza la interfaz de usuario de consola individual de QRadar con una funcionalidad de integración al pulsar el botón derecho para rellenar una solicitud de búsqueda de captura de paquetes. Incluye herramientas de apuntar y pulsar para realizar análisis exhaustivos y mejorar la visualización de relaciones ampliadas o impresiones digitales basadas en direcciones MAC o IP, correo electrónico, chat e identidades de redes sociales.
Habilite la gestión y la colaboración en la prevención de amenazas
Permita el acceso a IBM Security App Exchange.
Cómo lo usan los clientes
-
Siga la pista de los ciberdelincuentes
Problema
Discernir qué actividad sospechosa realmente es relevante para un incidente.
Solución
Identifique las acciones de los ciberdelincuentes para proporcionar información de valor sobre las consecuencias de una intrusión y evitar que se repita.
-
Reconstruya los datos en un ataque a la seguridad
Problema
Determinar el alcance de un incidente de seguridad.
Solución
Compile perfiles probatorios sobre los incidentes de seguridad para aplicar medidas correctivas. Recree los datos relacionados con un incidente de seguridad para obtener una vista detallada paso a paso del ataque. Simplifique el proceso de consultas con una interfaz similar a un motor de búsqueda de Internet.
-
Ahorre tiempo y reduzca costes
Problema
La investigación es manual, exigiendo herramientas especializadas y competencias técnicas especializadas.
Solución
Los equipos de seguridad de TI pueden dirigir de forma rápida y sencilla una investigación minuciosa y obtener visibilidad sobre los detalles de una brecha de seguridad, sin requerir formación ni conocimientos específicos.
-
Aproveche la infraestructura existente
Problema
Hay que utilizar distintos sistemas y herramientas y confiar encontrar una conexión con el ataque.
Solución
Opcionalmente, puede utilizar la infraestructura de PCAP existente o adquirir nuevos sistemas dedicados a QRadar Incident Forensics.
Detalles técnicos
Especificaciones técnicas
SO: Red Hat Enterprise Linux (RHEL) Server 6. Requisito previo: IBM Security QRadar SIEM 7.2.2 y futuros fixpacks.
Requisitos de software
Para obtener información sobre la compatibilidad de hardware, consulte los requisitos detallados del sistema en la Guía de instalación de IBM Security QRadar Incident Forensics.
Requisitos de hardware
IBM QRadar Incident Forensics está disponible como hardware, software o dispositivo virtual. Asegúrese de disponer de acceso a el siguiente hardware:
- Monitor y teclado, o una consola de serie