A la une

Retracer les actions des cybercriminels

IBM® QRadar® Incident Forensics réduit le temps nécessaire pour enquêter sur les incidents de sécurité et les résoudre. Simple d’emploi, il exige une formation minimale, ce qui permet aux équipes de sécurité informatique de rechercher de façon rapide et efficiente les incidents de sécurité. Ses fonctionnalités de collecte de données vont au-delà des flux d’événements de journal et des flux réseau et intègrent les captures de paquets ainsi que les documents et les éléments stockés numériquement. Il aide à obtenir du contexte et de la visibilité sur le “qui, quoi, quand, où et comment” d’une attaque.

Reconstruire les données et les indices associés à un incident de sécurité

Inclut une fonction de réorganisation des données qui aide à découvrir les relations réseau impliquées dans un incident. Crée des index avec les métadonnées de fichier et de réseau et le contenu utile des données de capture de paquets (PCAP), y compris le texte des pages Web et des documents. Permet aux analystes de filtrer les résultats de recherche pour n’inclure que les paquets associés à une infraction QRadar spécifique, ce qui les aide à repérer facilement et rapidement le trafic malveillant. Permet d’effectuer des tests de détection des attaques identifiées par les flux Internet de renseignements sur les menaces, tels qu’IBM X-Force®.

S’intègre à la plateforme IBM QRadar Security Intelligence Platform

Utilise l’interface utilisateur à console unique de QRadar avec une fonction d’intégration accessible d’un clic droit pour remplir une demande de recherche dans une capture de paquet. Inclut des outils de type pointer-cliquer pour une analyse et une visualisation plus approfondies des relations étendues, ou des impressions numériques basées sur les adresses IP ou MAC et les identités utilisées pour l’e-mail, la discussion en ligne et les médias sociaux.

Faciliter la collaboration et la gestion en matière de prévention des menaces

Autorisez l’accès à IBM Security App Exchange.

Détails techniques

Logiciels requis

Pour toute information concernant la compatibilité matérielle et logicielle, reportez-vous à la description détaillée de la configuration système requise dans le manuel IBM Security QRadar Incident Forensics Installation Guide.

    Configuration matérielle

    QRadar® Incident Forensics est disponible en tant que matériel, logiciel ou dispositif virtuel. Assurez-vous que vous avez accès aux composants matériels suivants :

    Alimentation de secours (UPS) pour tous les systèmes qui stockent des données, tels que la console QRadar, les composants des processeurs d’événements ou de QRadar QFlow Collector ; un câble faux modem si vous voulez connecter le système à une console série.

    Les produits QRadar prennent en charge les mises en œuvre matérielles de la technologie RAID (Redundant Array of Independent Disks), mais pas ses mises en œuvre logicielles.

    • Moniteur et clavier, ou console série

    Spécifications techniques

    Système d’exploitation : Red Hat Enterprise Linux (RHEL) Server 6. Préalable : IBM Security QRadar SIEM 7.2.2 et futurs groupes de correctifs

    QRadar Incident Forensics est intégré à IBM QRadar Security Intelligence Platform. Pour les installations réparties, vous pouvez désormais ajouter en tant qu’hôte géré à un dispositif QRadar un dispositif QRadar Incident Forensics (IBM Security QRadar Incident Forensics Processor).

    La notion de nœud QRadar Incident Forensics principal ou secondaire disparaît. Chaque processeur QRadar Incident Forensics est géré par la console QRadar.