Componenti aggiuntivi

Alcune sì e altre no. Poiché i dati di Data Store non passano attraverso l'analisi o la correlazione, le app basate sull'analytics potrebbero non essere in grado di utilizzare appieno i dati raccolti utilizzando Data Store. Tutte le altre funzionalità, come reporting, analisi, dashboard e proprietà personalizzate, dovrebbero funzionare come previsto.

I clienti devono utilizzare QRadar 7.3.1 o versioni successive.

Data Store è una sovrapposizione alla licenza QRadar che utilizza la capacità di storage ed elaborazione esistente sui processori di eventi e i nodi dati per raccogliere, elaborare e archiviare i dati identificati per Data Store. Non sono richieste nuove appliance ma è possibile acquistare ulteriori nodi dati per supportare le esigenze di storage dei dati.

Data Store viene principalmente utilizzato per la gestione dei log, quindi i suoi dati vengono esclusi dalle funzionalità di analytics avanzata della sicurezza e di correlazione. Tuttavia, i dati di Data Store possono essere utilizzati dalla maggior parte delle altre funzionalità, come la ricerca, la reportistica e la visualizzazione, nonché con le applicazioni personalizzate sviluppate utilizzando il QRadar App Framework.

I dati di Data Store non possono essere utilizzati per la correlazione cronologica. Tuttavia, la politica di filtro che separa i dati di Data Store dai dati SIEM può essere facilmente modificata. Non appena la politica viene aggiornata, tutti i dati raccolti da quel momento in poi saranno inclusi in tutti i processi di analytics e correlazione in QRadar.

Sì. Se si utilizza una console QRadar, l'app UBA richiede un minimo di 64 GB o fino a un massimo di 128 GB di memoria. Valuta, inoltre, l'implementazione di un host di app per accedere ai pieni vantaggi derivanti dall'esecuzione dell'app UBA con l'app di machine learning abilitata.

UBA si integra direttamente alla soluzione QRadar Security Analytics, utilizzando efficacemente l'interfaccia utente e il database QRadar esistenti. Tutti i dati di sicurezza a livello aziendale possono rimanere in un'ubicazione centrale e gli analisti possono ottimizzare le regole, generare dei report e connettere i dati senza dover imparare un nuovo sistema.

Poiché UBA condivide lo stesso database sottostante di QRadar, qualsiasi origine dati inserita in QRadar può essere resa visibile e sfruttata per UBA.

UBA è assemblato come una raccolta di 3 app: una app LDAP che aiuta a inserire e unire le informazioni sull'identità degli utenti, una app UBA che aiuta a visualizzare dati e analytics e una app di machine learning che fornisce una libreria di algoritmi di machine learning utilizzati per creare i modelli comportamentali delle attività degli utenti.

Il rilevamento delle anomalie è una tecnica utilizzata per identificare schemi insoliti, che non sono conformi al comportamento previsto e differiscono in modo significativo dalla maggior parte dei dati.

Un punteggio di rischio è la misura numerica della potenziale nocività dell'attività di un utente. Ogni comportamento anomalo rilevato da UBA si ripercuote sul punteggio di rischio di uno specifico utente.

Gli algoritmi di machine learning inseriscono le ultime 4 settimane di dati dal database QRadar condiviso e, di norma, impiegano tra le 3 e le 24 ore per creare i modelli di comportamento normale.

L'app UBA può essere implementata in QRadar on-premise, in QRadar su cloud o in qualsiasi implementazione IaaS o ibrida.

L'app UBA viene offerta ai clienti QRadar senza costi aggiuntivi.

Il Supporto IBM dispone di risorse dedicate che possono fornire assistenza per problemi ad alta priorità. L'app UBA include una sezione di guida e supporto per l'utilizzo delle app di analytics di machine learning, UBA e LDAP.

Come per tutte le applicazioni e i moduli QRadar, i dati vengono crittografati quando sono inattivi.