Información general

Estos complementos de IBM Security QRadar amplían las prestaciones de su solución de información de seguridad y gestión de eventos (SIEM), ofreciéndole más conocimientos y un rol más proactivo en la seguridad de TI de su organización.

IBM QRadar User Behavior Analytics

IBM QRadar Advisor with Watson

IBM QRadar Incident Forensics

IBM QRadar Data Store

Aplicación IBM QRadar Data Synchronization

Historias de clientes

Preguntas frecuentes

¿Cómo se configura Data Store para separar los datos para el almacenamiento de los datos para el análisis?

Data Store se configura mediante un simple filtro de recopilación en QRadar. Seleccionando el origen de datos o los criterios de eventos del origen de datos, puede definir fácilmente qué datos se envían directamente a Data Store. Este filtro puede cambiarse en cualquier momento y enviarse a producción.

¿Las aplicaciones que instalo desde el App Exchange utilizan datos de Data Store?

Algunos lo hacen y otros no. Dado que los datos del almacén de datos no se analizan ni correlacionan, es posible que las aplicaciones basadas en analítica no puedan utilizar plenamente los datos recopilados mediante Data Store. Todas las demás prestaciones, como la elaboración de informes, el análisis, las propiedades personalizadas y los paneles de control, deberían funcionar como se espera.

¿Qué versión de QRadar se necesita para utilizar Data Store?

Los clientes deben utilizar QRadar 7.3.1 o superior.

¿Qué tipos de dispositivos admiten la capacidad de Data Store?

Data Store es una superposición con licencia de QRadar que utiliza la capacidad de almacenamiento y procesamiento existente en los procesadores de eventos y nodos de datos para recopilar, procesar y almacenar los datos identificados para Data Store. No se necesitan nuevos dispositivos, pero se pueden adquirir nodos de datos adicionales para satisfacer las necesidades de almacenamiento de datos.

¿Qué prestaciones de QRadar funcionarán con los datos recogidos en Data Store?

Data Store se utiliza principalmente para la gestión de registros, por lo que sus datos quedan excluidos de las prestaciones de correlación y analítica de seguridad avanzada. Sin embargo, los datos de Data Store los pueden utilizar la mayoría del resto de prestaciones, como la búsqueda, la elaboración de informes y la visualización, así como con aplicaciones personalizadas construidas utilizando QRadar App Framework.

¿Los datos recopilados mediante Data Store pueden convertirse y utilizarse posteriormente para casos de uso de seguridad?

Los datos de Data Store no pueden utilizarse para la correlación histórica. Sin embargo, la política de filtrado que separa los datos de Data Store de los datos de SIEM puede cambiarse fácilmente. Tan pronto como se actualice la política, todos los datos recopilados en el futuro se incluirán en todos los procesos de análisis y correlación dentro de QRadar.

¿Existen requisitos previos para la instalación de User Behavior Analytics (UBA)?

Sí. Si se ejecuta en una consola QRadar, la aplicación UBA requiere un mínimo de 64 GB o hasta 128 GB de memoria. Además, considere la implementación de un host de aplicaciones para acceder a todos los beneficios de ejecutar la aplicación UBA con la aplicación de machine learning habilitada.

¿Cómo puedo introducir los datos de mi organización en UBA?

UBA se integra directamente en la solución QRadar Security Analytics, aprovechando la interfaz de usuario y la base de datos existentes de QRadar. Todos los datos de seguridad de la empresa pueden permanecer en una ubicación central y los analistas pueden ajustar las reglas, generar informes y conectar los datos sin tener que aprender un nuevo sistema.

¿UBA se integra con mis otras herramientas?

Dado que UBA comparte la misma base de datos subyacente que QRadar, cualquier origen de datos que se introduzca en QRadar puede emerger y aprovecharse en UBA.

¿Cuál es la arquitectura de UBA?

UBA se presenta como una colección de tres aplicaciones: una aplicación LDAP que ayuda a introducir y fusionar la información de identidad de los usuarios, una aplicación UBA que ayuda a visualizar datos y análisis, y otra aplicación de machine learning que proporciona una biblioteca de algoritmos de machine learning utilizados para crear modelos de comportamiento de las actividades de los usuarios.

¿Qué es la detección de anomalías?

La detección de anomalías es una técnica utilizada para identificar patrones inusuales que no se ajustan al comportamiento esperado y difieren significativamente de la mayoría de los datos.

¿Qué es la puntuación de riesgo?

La puntuación de riesgo es la medida numérica de la nocividad potencial de la actividad de un usuario. Cada comportamiento anómalo detectado por UBA afecta a la puntuación de riesgo de un usuario individual.

¿Cuánto tiempo tardan en entrenarse los modelos de machine learning?

Los algoritmos de machine learning consumen las últimas 4 semanas de datos de la base de datos compartida de QRadar y suelen tardar entre 3 y 24 horas en construir los modelos de comportamiento normal.

¿Se puede implementar UBA en QRadar en el cloud?

La aplicación UBA puede implementarse en QRadar de forma local, en QRadar en el cloud o en cualquier implementación IaaS o híbrida.

¿Cuánto cuesta la aplicación UBA?

La aplicación UBA se ofrece a los clientes de QRadar sin coste adicional.

¿Dónde puedo obtener ayuda sobre la aplicación UBA?

El soporte de IBM cuenta con recursos dedicados que pueden ayudar con los problemas de prioridad alta. La aplicación UBA incluye una sección de ayuda y soporte para utilizar las aplicaciones LDAP, UBA y de análisis de machine learning.

¿Cómo asegura IBM la información del usuario en UBA?

Como en todas las aplicaciones y módulos de QRadar, los datos se cifran en reposo.