Funzione in evidenza

Ripercorri, passo dopo passo, le azioni dei criminali informatici

IBM® QRadar® Incident Forensics riduce il tempo necessario per indagare sugli incidenti di sicurezza e rispondere a essi. È facile da usare e richiede una formazione minima, consentendo ai team di sicurezza IT di eseguire ricerche sugli incidenti di sicurezza in modo rapido ed efficiente. Le sue funzionalità di raccolta di dati si estendono oltre gli eventi di log e i flussi di rete per includere acquisizioni di pacchetti complete, i documenti ed elementi memorizzati digitalmente. Aiuta a fornire contesto e visibilità agli elementi fondamentali (chi, cosa, quando, dove e come) di un attacco.

Ricostruisci i dati e le prove correlati a un incidente di sicurezza

Include il pivoting dei dati per aiutare a scoprire le relazioni di rete coinvolte in un incidente. Crea indici utilizzando metadati di rete, di file e i contenuti di payload dei dati PCAP (packet capture), compresi i testi da pagine web e documenti. Aiuta gli analisti a filtrare i risultati della ricerca per includere solo i pacchetti associati a una specifica violazione QRadar, aiutandoli a individuare rapidamente e facilmente il traffico malintenzionato. Abilita l'esecuzione di test per gli attacchi identificati dai feed di intelligence delle minacce Internet, come ad esempio IBM X-Force®.

Si integra con IBM QRadar Security Intelligence Platform

Utilizza l'interfaccia utente a console singola QRadar con una funzionalità di integrazione per popolare una richiesta di ricerca di acquisizione di pacchetti. Include strumenti "point-and-click" per un'analisi più approfondita e una visualizzazione delle relazioni estese oppure per le impronte digitali basate su indirizzi IP o MAC, email, chat e identità sui social media.

Abilita la collaborazione e la gestione di prevenzione delle minacce

Consenti l'accesso a IBM Security App Exchange.

In che modo viene utilizzato dai clienti

  • Ripercorri le azioni imputabili ai criminali informatici

    Problema

    Come riconoscere quale attività sospetta sia veramente correlata a un incidente.

    Soluzione

    Identifica le azioni dei criminali informatici per fornire informazioni approfondite sull'impatto di un'intrusione e aiutare a evitare che si verifichino nuovamente.

  • Ricostruisci i dati in un attacco alla sicurezza

    Ricostruisci i dati in un attacco alla sicurezza

    Problema

    Come stabilire la reale entità di un incidente di sicurezza.

    Soluzione

    Compila i profili probatori relativi agli incidenti di sicurezza per la correzione. Ricrea i dati coinvolti in un incidente di sicurezza per ottenere una vista dettagliata e passo dopo passo dell’attacco. Semplifica il processo di query con un'interfaccia simile a un motore di ricerca Internet.

  • Risparmia tempo e riduci i costi

    Problema

    Le indagini forensi hanno richiesto interventi manuali, strumenti specializzati e competenze tecniche specializzate.

    Soluzione

    I team di sicurezza IT possono condurre rapidamente e facilmente indagini forensi approfondite e accedere ai dettagli relative a una violazione della sicurezza senza competenze e formazioni speciali.

  • Sfruttamento dell'infrastruttura esistente

    Problema

    Come utilizzare vari strumenti e sistemi, sperando di trovare una connessione con il reato.

    Soluzione

    Se necessario, utilizza l'infrastruttura PCAP esistente oppure acquisisci nuovi sistemi dedicati a QRadar Incident Forensics.

Dettagli tecnici

Requisiti software

Per informazioni sulla compatibilità di hardware e software, consultare i requisiti di sistema dettagliati nel manuale IBM Security QRadar Incident Forensics Installation Guide.

    Requisiti hardware

    QRadar® Incident Forensics è disponibile come hardware, software o appliance virtuale. Assicurati di avere accesso ai seguenti componenti hardware:

    UPS (Uninterrupted Power Supply) per tutti i sistemi che memorizzano dati, come QRadar Console, componenti Event Processor o componenti QRadar QFlow Collector; un cavo null modem se si desidera connettere il sistema a una console seriale.

    I prodotti QRadar supportano le implementazioni RAID (Redundant Array of Independent Disk) basate su hardware ma non supportano le installazioni RAID basate su software.

    • Monitor e tastiera o una console seriale

    Specifiche tecniche

    Sistema operativo: RHEL (Red Hat Enterprise Linux) Server 6. Prerequisito: IBM Security QRadar SIEM 7.2.2 e fix pack futuri

    QRadar Incident Forensics è integrato in IBM QRadar Security Intelligence Platform. Per le installazioni distribuite, è ora possibile aggiungere un'appliance QRadar Incident Forensics (IBM Security QRadar Incident Forensics Processor) come un host gestito a un'appliance QRadar.

    Non c'è più un nodo QRadar Incident Forensics primario o secondario. Ogni processore QRadar Incident Forensics è gestito dalla console QRadar.