Panoramica

Questi componenti aggiuntivi di IBM Security QRadar migliorano le funzionalità della tua soluzione SIEM (Security Information and Event Management) offrendoti un maggiore insight e un ruolo più proattivo nella sicurezza IT della tua organizzazione.

IBM QRadar User Behavior Analytics

IBM QRadar Advisor with Watson

IBM QRadar Incident Forensics

IBM QRadar Data Store

App IBM QRadar Data Synchronization

Storie dei clienti

FAQ (Frequently Asked Questions)

In che modo viene configurato Data Store per separare i dati di storage dai dati di analisi?

Data Store è configurato utilizzando un semplice filtro di raccolta in QRadar. Selezionando l'origine dati o i criteri dell'evento dall'origine dati, puoi definire facilmente quali dati vengono inviati direttamente a Data Store. Questo filtro può essere modificato in qualsiasi momento e attivato immediatamente.

Le app installate da App Exchange utilizzano i dati di Data Store?

Alcune sì e altre no. Poiché i dati di Data Store non passano attraverso l'analisi o la correlazione, le app basate sull'analytics potrebbero non essere in grado di utilizzare appieno i dati raccolti utilizzando Data Store. Tutte le altre funzionalità, come reporting, analisi, dashboard e proprietà personalizzate, dovrebbero funzionare come previsto.

Quale versione di QRadar devo avere per utilizzare Data Store?

I clienti devono utilizzare QRadar 7.3.1 o versioni successive.

Che tipi di appliance supportano la funzionalità Data Store?

Data Store è una sovrapposizione alla licenza QRadar che utilizza la capacità di storage ed elaborazione esistente sui processori di eventi e i nodi dati per raccogliere, elaborare e archiviare i dati identificati per Data Store. Non sono richieste nuove appliance ma è possibile acquistare ulteriori nodi dati per supportare le esigenze di storage dei dati.

Quali funzionalità di QRadar funzioneranno con i dati raccolti da Data Store?

Data Store viene principalmente utilizzato per la gestione dei log, quindi i suoi dati vengono esclusi dalle funzionalità di analytics avanzata della sicurezza e di correlazione. Tuttavia, i dati di Data Store possono essere utilizzati dalla maggior parte delle altre funzionalità, come la ricerca, la reportistica e la visualizzazione, nonché con le applicazioni personalizzate sviluppate utilizzando il QRadar App Framework.

I dati raccolti utilizzando Data Store possono essere convertiti e utilizzati in seguito per i casi di utilizzo della sicurezza?

I dati di Data Store non possono essere utilizzati per la correlazione cronologica. Tuttavia, la politica di filtro che separa i dati di Data Store dai dati SIEM può essere facilmente modificata. Non appena la politica viene aggiornata, tutti i dati raccolti da quel momento in poi saranno inclusi in tutti i processi di analytics e correlazione in QRadar.

Ci sono dei prerequisiti per l'installazione di UBA (User Behavior Analytics)?

Sì. Se si utilizza una console QRadar, l'app UBA richiede un minimo di 64 GB o fino a un massimo di 128 GB di memoria. Valuta, inoltre, l'implementazione di un host di app per accedere ai pieni vantaggi derivanti dall'esecuzione dell'app UBA con l'app di machine learning abilitata.

Come posso inserire i dati della mia organizzazione in UBA?

UBA si integra direttamente alla soluzione QRadar Security Analytics, utilizzando efficacemente l'interfaccia utente e il database QRadar esistenti. Tutti i dati di sicurezza a livello aziendale possono rimanere in un'ubicazione centrale e gli analisti possono ottimizzare le regole, generare dei report e connettere i dati senza dover imparare un nuovo sistema.

L'UBA si integra con i miei altri strumenti?

Poiché UBA condivide lo stesso database sottostante di QRadar, qualsiasi origine dati inserita in QRadar può essere resa visibile e sfruttata per UBA.

Cos'è l'architettura UBA?

UBA è assemblato come una raccolta di 3 app: una app LDAP che aiuta a inserire e unire le informazioni sull'identità degli utenti, una app UBA che aiuta a visualizzare dati e analytics e una app di machine learning che fornisce una libreria di algoritmi di machine learning utilizzati per creare i modelli comportamentali delle attività degli utenti.

Cos'è il rilevamento delle anomalie?

Il rilevamento delle anomalie è una tecnica utilizzata per identificare schemi insoliti, che non sono conformi al comportamento previsto e differiscono in modo significativo dalla maggior parte dei dati.

Cos'è un punteggio di rischio?

Un punteggio di rischio è la misura numerica della potenziale nocività dell'attività di un utente. Ogni comportamento anomalo rilevato da UBA si ripercuote sul punteggio di rischio di uno specifico utente.

Quanto tempo richiede l'addestramento dei modelli di machine learning?

Gli algoritmi di machine learning inseriscono le ultime 4 settimane di dati dal database QRadar condiviso e, di norma, impiegano tra le 3 e le 24 ore per creare i modelli di comportamento normale.

UBA può essere implementata in QRadar su cloud?

L'app UBA può essere implementata in QRadar on-premise, in QRadar su cloud o in qualsiasi implementazione IaaS o ibrida.

Quanto costa l'app UBA?

L'app UBA viene offerta ai clienti QRadar senza costi aggiuntivi.

A chi posso rivolgermi per assistenza con UBA?

Il Supporto IBM dispone di risorse dedicate che possono fornire assistenza per problemi ad alta priorità. L'app UBA include una sezione di guida e supporto per l'utilizzo delle app di analytics di machine learning, UBA e LDAP.

In che modo IBM protegge le informazioni utente in UBA?

Come per tutte le applicazioni e i moduli QRadar, i dati vengono crittografati quando sono inattivi.