Información general

Completa visibilidad de un evento de principio a fin

QRadar SIEM no solo registra eventos, como inicios de sesión de usuario o conexiones VPN, sino también datos de flujo (actividad de red que puede durar de segundos a días), como la transmisión en streaming de una película. Gracias a esta exclusiva capacidad, QRadar SIEM proporciona una visibilidad total del entorno de seguridad, lo que incluye centros de datos locales, clouds, aplicaciones SaaS y endpoints de empleado, con el objetivo de limitar los puntos ciegos en donde pudiera ocultarse actividad maliciosa.

Amplíe aún más las prestaciones de detección de amenazas de QRadar SIEM con varios puntos de integración, como módulos de soporte de dispositivos (DSM), dispositivos de colección de comportamientos de red, fuentes de inteligencia de amenazas y escáneres de vulnerabilidad.

Ventajas

Consiga una visibilidad total

Vea datos de seguridad de todo su entorno para cerrar las brechas ocasionadas por las amenazas.

Acelere las correcciones

Obtenga inteligencia actualizada sobre amenazas mundiales que pudieran penetrar en su entorno.

Proteja su entorno de forma proactiva

Reciba alertas automáticas de vulnerabilidades y parches de los escáneres de vulnerabilidad.

Tipos de integraciones

Orígenes de registro de eventos

Acceda a más de 450 módulos de soporte de dispositivos (DSM) y más de 370 aplicaciones

Las amenazas se mueven con rapidez. A diferencia de otros SIEM del mercado, QRadar SIEM analiza un evento de origen de registro y lo normaliza a formato de taxonomía estándar automáticamente. Para ello, QRadar SIEM detecta de manera automática más de 450 módulos DSM, desde Amazon hasta Zscaler, que están listos para usarse desde el momento en que se instala QRadar y que son compatibles con IBM.

QRadar SIEM acepta los eventos de los orígenes de registro por medio de protocolos como syslog, syslog-tcp y SNMP.  Además, QRadar SIEM es capaz de configurar conexiones salientes para recuperar eventos mediante protocolos como SCP, SFTP, FTP, JDBC, Check Point OPSEC y SMB/CIFS.

Para obtener más aplicaciones de IBM y socios comerciales de IBM para QRadar SIEM, visite IBM App Exchange (enlace externo a ibm.com).

Dispositivos de colección de comportamientos de red

Proteja su red mediante dispositivos de colección de comportamientos de red

QRadar SIEM recibe flujos de muchos tipos distintos de fuentes de datos de red, u orígenes de flujo, clasificados como internos o externos. Esto ofrece una vista más profunda de la red, lo que ayuda a acabar con los puntos ciegos.

QRadar SIEM es compatible con los siguientes protocolos de flujo externos:

Escáneres de vulnerabilidad

Identifique las amenazas y clasifíquelas por orden de prioridad rápidamente

Las integraciones con datos de vulnerabilidades ayudan a QRadar SIEM a entender mejor los recursos del entorno para clasificar las alertas por orden de prioridad y reducir los falsos positivos. Además, los escáneres de evaluación de vulnerabilidades proporcionan perfiles de evaluación de vulnerabilidades de los recursos de la red.

Fuentes de inteligencia de amenazas

Anticípese a las amenazas mundiales emergentes

QRadar SIEM emplea integraciones con fuentes de inteligencia de amenazas y escáneres de vulnerabilidad para obtener contexto adicional para clasificar las amenazas por orden de prioridad. Las fuentes de inteligencia de amenazas proporcionan a QRadar SIEM información actual sobre las amenazas más recientes detectadas en todo el mundo que le permiten tomar medidas para proteger su entorno.

Integraciones personalizadas

Cree sus propias integraciones

Si aún no existe compatibilidad de integración con un sistema de su entorno, QRadar SIEM le permite crear un analizador personalizado para la fuente de datos. También puede recopilar eventos de distintas API REST de fuentes de datos menos comunes sin un DSM o protocolo específico mediante la API REST de cloud universal de QRadar SIEM.

Preguntas frecuentes

Obtenga las respuestas a las preguntas más frecuentes con respecto a este producto.

¿Cuál es la diferencia entre datos de flujo y eventos de registro y por qué importa?

Es importante disponer de una panorámica completa de lo que ocurre en la red.

Los datos de evento representan eventos de registro que se producen en un único punto en el tiempo en el entorno de un usuario, por ejemplo, inicios de sesión de usuario, correos electrónicos, conexiones VPN, denegaciones de firewall, conexiones proxy, etc.

Los datos de flujo son información de actividad de red o de sesión entre dos hosts de una red. QRadar SIEM traduce o normaliza los datos sin procesar de direcciones IP, puertos, recuentos de bytes y paquetes y otra información en registros de flujo. Además de recopilar información de flujo básica, el componente QRadar Network Insights (QNI) de QRadar SIEM dispone de captura de paquetes completa.

Una diferencia fundamental entre datos de evento y flujo es el periodo de tiempo que puede representar cada tipo de datos. Un evento se produce en un momento determinado y se registra en ese momento. Un flujo es actividad de red entre dos hosts que puede durar segundos, minutos, horas o días en función de la actividad en la sesión. Por ejemplo, puede tratarse de una solicitud web que descarga varios archivos, como imágenes, anuncios y vídeo, y que dura de 5 a 10 segundos, o de un usuario que ve una película con un servicio de streaming.

QRadar SIEM proporciona a los analistas de seguridad una visión de principio a fin de un evento.

¿Qué son los orígenes de flujo internos y cómo funcionan?

Los orígenes de flujo internos recopilan paquetes sin procesar de un dispositivo de cinta de red, un puerto de extensión o un puerto espejo conectado a una tarjeta de interfaz de red o Napatech. Estos orígenes proporcionan datos de paquete tal como aparecen en la red y los envían a un puerto de supervisión de un dispositivo de recopilación de flujo, que convierte los datos de paquete en registros de flujo que se usan en QRadar SIEM.

¿Qué son los orígenes de flujo externos y cómo funcionan?

Los orígenes de flujo externos, como enrutadores que envían protocolos comunes de supervisión de red, incluidos datos de NetFlow, IPFIX, sFlow, J-Flow y Packeteer, proporcionan un nivel de visibilidad distinto al de los internos. Por ejemplo, los registros de NetFlow proporcionan la interfaz del enrutador que han cruzado los paquetes y los números de registro ASN de la red de origen. Si se utiliza IPFIX, es posible colocar campos adicionales no analizados en campos normalizados en la carga útil como pares nombre-valor, que luego se pueden emplear como propiedades personalizadas.

¿Qué es un módulo de soporte de dispositivos (DSM)?

Un módulo de soporte de dispositivos (DSM) es un archivo plug-in que QRadar SIEM utiliza para recopilar eventos de los productos de seguridad de terceros.

¿Se actualizan automáticamente los DSM?

Sí, QRadar SIEM proporciona actualizaciones automáticas para los DSM compatibles con IBM conforme a las actualizaciones de producto del proveedor; incluyen nuevas versiones de DSM, correcciones a problemas de análisis y actualizaciones de protocolo. Dispone de más información sobre la actualización automática de DSM aquí.