Panoramica

Una visione completa dell'inizio, lo svolgimento e la fine di un evento

QRadar SIEM non solo memorizza gli eventi di log, come gli accessi degli utenti o le connessioni VPN, ma registra anche i dati sul flusso: attività di rete che possono durare da secondi a giorni, come nel caso dello streaming video. Questa capacità unica consente a QRadar SIEM di fornire una visibilità completa sull'ambiente di sicurezza, fra cui data center on-premise, cloud, applicazioni SaaS ed endpoint dei dipendenti, per limitare i punti ciechi dove potrebbero celarsi le attività dannose.

Estendi ulteriormente le funzionalità di rilevamento delle minacce di QRadar SIEM attraverso più punti di integrazione come i moduli di supporto dei dispositivi (DSM), i dispositivi per la raccolta dei comportamenti di rete, i feed di threat intelligence e le scansioni di vulnerabilità.

Vantaggi

Ottieni una visibilità completa

Visualizza i dati sulla sicurezza di tutti i tuoi ambienti per colmare le lacune causate dalle minacce.

Velocizza le correzioni

Ricevi informazioni aggiornate sulle minacce globali che potrebbero infiltrarsi nel tuo ambiente.

Proteggi in modo proattivo il tuo ambiente

Ricevi avvisi automatici su vulnerabilità e patch grazie alle scansioni di vulnerabilità.

Tipi di integrazione

Origini degli eventi di log

Accedi a oltre 450 moduli di supporto dei dispositivi (DSM) e a più di 370 applicazioni

Le minacce si muovono velocemente. A differenza delle altre soluzioni SIEM sul mercato, QRadar SIEM analizza e normalizza automaticamente l'evento di un'origine di log in un formato di tassonomia standard. Per farlo, QRadar SIEM rileva automaticamente oltre 450 moduli DSM, da Amazon a Zscaler, che sono pronti all'uso tramite l'installazione di QRadar e supportati da IBM.

QRadar SIEM accetta eventi da origini di log utilizzando protocolli come syslog, syslog-tcp e SNMP.  Può inoltre configurare le connessioni in uscita per recuperare gli eventi utilizzando protocolli come SCP, SFTP, FTP, JDBC, Check Point OPSEC e SMB/CIFS.

Per scoprire altre applicazioni IBM e di partner commerciali per QRadar SIEM, visita IBM App Exchange (link esterno al sito ibm.com).

Dispositivi per la raccolta dei comportamenti di rete

Proteggi la tua rete con i dispositivi per la raccolta dei comportamenti di rete

QRadar SIEM può ricevere flussi da tanti diversi tipi di origini dei dati di rete, oppure origini di flusso, classificate come interne o esterne. Ciò ti consentirà di avere una visione più approfondita della tua rete, così da poter eliminare i punti ciechi.

Sono supportati i seguenti protocolli di flusso esterni:

Scansioni di vulnerabilità

Identifica e classifica le minacce velocemente

Le integrazioni con i dati sulle vulnerabilità consentono a QRadar SIEM di analizzare meglio gli asset del tuo ambiente, così da poter assegnare meglio le priorità e ridurre i falsi positivi. Inoltre, le scansioni della valutazione delle vulnerabilità possono fornire profili di valutazione delle vulnerabilità per gli asset di rete.

Feed di threat intelligence

Anticipa le nuove minacce globali

Per ottenere maggiore contesto e assegnare così la giusta priorità alle minacce, QRadar SIEM utilizza integrazioni con feed di threat intelligence e scansioni di vulnerabilità. I feed di threat intelligence forniscono a QRadar SIEM informazioni aggiornate sulle ultime minacce rilevate in tutto il mondo, così potrai agire tempestivamente per proteggere il tuo ambiente.

Integrazioni personalizzate

Crea le tue integrazioni

Se un sistema del tuo ambiente non dispone già del supporto per le integrazioni, QRadar SIEM ti consente di creare un parser personalizzato per la tua origine dati. Puoi anche raccogliere gli eventi di diverse API REST per le origini dati meno comuni che non hanno un DSM o un protocollo specifico tramite QRadar SIEM Universal Cloud Rest API.

Domande frequenti

Consulta le risposte alle domande più frequenti su questo prodotto.

Qual è la differenza tra eventi di log e dati di flusso e perché è importante?

È importante avere una visibilità completa di ciò che accade sulla rete.

I dati degli eventi rappresentano gli eventi di log che si verificano in un determinato momento nell'ambiente di un utente, come accessi dell'utente, e-mail, connessioni VPN, negazioni del firewall, connessioni proxy e altro.

I dati di flusso sono informazioni sull'attività di rete o informazioni sulla sessione tra due host su una rete. QRadar SIEM traduce o normalizza i dati non elaborati provenienti da indirizzi IP, porte, conteggi di byte e pacchetti e altre informazioni in record di flusso. Oltre a raccogliere informazioni di base sul flusso, con il componente QRadar Network Insights (QNI) incluso con QRadar SIEM è disponibile l'acquisizione completa dei pacchetti.

Una differenza fondamentale tra i dati di evento e di flusso è il periodo di tempo che ciascun tipo di dati è in grado di rappresentare. Un evento si verifica in un momento specifico e viene registrato in quel momento. Un flusso è un'attività di rete tra due host che può durare secondi, minuti, ore o giorni, a seconda dell'attività all'interno della sessione. Ad esempio, una richiesta Web che scarica più file come immagini, pubblicità e video che dura da 5 a 10 secondi o un utente che guarda un film con un servizio di streaming.

QRadar SIEM offre agli analisti di sicurezza una visione completa dell'inizio, lo svolgimento e la fine di un evento.

Che cosa sono le origini di flusso interne e come funzionano?

Le origini di flusso interne raccolgono i pacchetti non elaborati da un dispositivo tap di rete, una porta SPAN o una porta mirroring collegata alla scheda di interfaccia Napatech o di rete. Queste origini forniscono i dati dei pacchetti così come appaiono sulla rete e li inviano a una porta di monitoraggio su un dispositivo di raccolta del flusso, che converte i dati dei pacchetti in record di flusso utilizzati in QRadar SIEM.

Che cosa sono le origini di flusso esterne e come funzionano?

Le origini di flusso esterne, come i router che inviano protocolli di monitoraggio della rete comuni, inclusi dati NetFlow, IPFIX, sFlow, J-Flow e Packeteer, forniscono un livello di visibilità diverso rispetto alle origini di flusso interne. Ad esempio, i record NetFlow possono fornire sia l'interfaccia del router attraversata dai pacchetti, sia i numeri di record ASN della rete di origine. Quando si utilizza IPFIX, i campi aggiuntivi che non vengono analizzati in campi normalizzati possono essere inseriti nel payload come coppie nome-valore, e possono quindi essere utilizzati come proprietà personalizzate.

Cos'è un modulo di supporto del dispositivo (DSM)?

Un modulo di supporto del dispositivo (DSM) è un file plug-in che QRadar SIEM può utilizzare per raccogliere eventi dai prodotti di sicurezza di terze parti.

I DSM vengono aggiornati automaticamente?

Sì, QRadar SIEM fornisce aggiornamenti automatici per i DSM supportati da IBM secondo gli aggiornamenti di prodotto del fornitore e include nuove versioni DSM, correzioni ai problemi di analisi e aggiornamenti del protocollo. Ulteriori informazioni sull'aggiornamento automatico dei DSM sono disponibili qui.