Présentation

Ces modules complémentaires IBM Security QRadar améliorent les capacités de votre solution d'information sur la sécurité et de gestion des événements (SIEM) en vous offrant une meilleure visibilité et un rôle plus proactif dans la sécurité informatique de votre entreprise.

IBM QRadar User Behavior Analytics

IBM QRadar Advisor with Watson

IBM QRadar Incident Forensics

IBM QRadar Data Store

Application IBM QRadar Data Synchronization

Références client

Foire aux questions

Comment Data Store est-il configuré pour séparer les données de stockage des données d'analyse ?

Data Store est configuré à l'aide d'un simple filtre de collecte dans QRadar. En sélectionnant la source de données ou les critères d'événement à partir de la source de données, vous pouvez facilement définir quelles données sont envoyées directement dans Data Store. Ce filtre peut être modifié à tout moment et immédiatement mis en production.

Les applications que j'installe depuis App Exchange utilisent-elles les données de Data Store ?

Certaines seulement. Comme les données de Data Store ne passent pas par l'analyse ou la corrélation, les applications basées sur l'analyse peuvent ne pas être en mesure d'utiliser pleinement les données collectées à l'aide de Data Store. Les autres capacités (production de rapports, analyse, propriétés personnalisées, tableaux de bord, etc.) devraient fonctionner comme prévu.

Quelle version de QRadar est nécessaire pour utiliser Data Store ?

Les clients doivent utiliser QRadar 7.3.1 ou version ultérieure.

Quels types d'appareils prennent en charge la capacité Data Store ?

Data Store est une superposition de licence QRadar qui exploite la capacité existante de stockage et de traitement des processeurs d’événements et des nœuds de données pour collecter, traiter et stocker les données identifiées pour Data Store. Data Store ne nécessite aucun nouveau dispositif. Vous pouvez acheter des nœuds de données en fonction de vos besoins de stockage de données.

Quelles capacités de QRadar fonctionnent avec les données collectées dans Data Store ?

Data Store est principalement utilisé pour la gestion des journaux. Par conséquent, ses données sont exclues des corrélations et des capacités d'analyse de sécurité avancées. Les données de Data Store peuvent cependant être utilisées par la plupart des autres fonctions (recherche, production de rapports, visualisation et applications personnalisées créées à l'aide de QRadar App Framework).

Les données collectées à l'aide de Data Store peuvent-elles être converties et utilisées ultérieurement pour des cas d'utilisation relatifs à la sécurité ?

Les données de Data Store ne peuvent pas être utilisées pour la corrélation historique. Toutefois, la politique de filtrage qui sépare les données Data Store des données SIEM peut facilement être modifiée. Dès que la politique est mise à jour, toutes les données futures collectées sont incluses dans tous les processus d'analyse et de corrélation de QRadar.

Existe-t-il des prérequis pour installer User Behavior Analytics (UBA) ?

Oui. Si elle est exécutée sur une console QRadar, l'application UBA requiert un minimum de 64 Go ou jusqu'à 128 Go de mémoire. De plus, il vous faudra peut-être envisager le déploiement d'un hôte d'application pour tirer pleinement parti de l'exécution de l'application UBA avec l'application d'apprentissage automatique activée.

Comment ajouter les données de mon organisation dans UBA ?

UBA s'intègre directement dans la solution QRadar Security Analytics, en tirant parti de l'interface utilisateur et de la base de données QRadar existantes. Toutes les données de sécurité à l'échelle de l'entreprise peuvent rester dans un seul emplacement central. Les analystes peuvent ainsi paramétrer des règles, générer des rapports et connecter des données sans avoir à se familiariser avec un nouveau système.

L'application UBA s'intègre-t-elle à mes autres outils ?

Comme UBA partage la même base de données sous-jacente que QRadar, toute source de données versée dans QRadar peut être surfacée et optimisée pour UBA.

À quoi ressemble l'architecture d'UBA ?

UBA est fourni sous la forme d'une collection de 3 applications, 1 application LDAP qui aide à verser et à fusionner des informations sur l'identité des utilisateurs, 1 application UBA qui aide à visualiser les données et les analyses, et 1 application d'apprentissage automatique qui fournit une bibliothèque d'algorithmes d'apprentissage automatique utilisés pour créer des modèles de comportement des activités des utilisateurs.

Qu'est-ce que la détection des anomalies ?

La détection des anomalies est une technique utilisée pour identifier des modèles inhabituels qui ne sont pas conformes au comportement attendu et qui diffèrent significativement de la majorité des données.

Qu'est-ce qu'un score de risque ?

Un score de risque correspond à la mesure numérique de la nocivité potentielle de l'activité d'un utilisateur. Chaque comportement anormal détecté par UBA a une incidence sur le score de risque d'un utilisateur.

Combien de temps faut-il pour entraîner les modèles d'apprentissage automatique ?

Les algorithmes d'apprentissage automatique ingèrent les données des 4 semaines précédentes issues de la base de données QRadar partagée, et nécessitent généralement 3 à 24 heures pour créer des modèles de comportement normal.

L'application UBA peut-elle être déployée dans QRadar on Cloud ?

L'application UBA peut être déployée dans QRadar sur site, dans QRadar on Cloud, ou via un déploiement IaaS ou hybride.

Combien coûte l'application UBA ?

L'application UBA est proposée aux clients QRadar sans coût supplémentaire.

Où puis-je obtenir de l'aide avec UBA ?

Le support IBM dispose de ressources dédiées qui peuvent vous aider à résoudre les problèmes à priorité élevée. L'application UBA inclut une section d'aide et de support pour l'utilisation de l'application UBA, de l'application LDAP et de l'application d'apprentissage automatique.

Comment IBM sécurise les informations utilisateur dans UBA ?

Comme pour toutes les applications et tous les modules QRadar, les données sont chiffrées au repos.