スポットライト

サイバー犯罪者の段階的行動の見直し

IBM QRadar Incident Forensicsは、セキュリティー・インシデントを調査して対応するのに必要な時間を短縮します。これは簡単に使用できるため、ITセキュリティー・チームは最小限のトレーニングを行うだけで、迅速かつ効率的にセキュリティー・インシデントの調査を行えるようになります。単なるログ・イベントやネットワーク・フローにとどまらず、拡張されたデータ収集機能により、フル・パケット・キャプチャーや文書やエレメントをデジタルで保存することも可能です。 どのような攻撃が誰によって、いつどこで、どのように発生したかに関するコンテキスト(前後の文脈)を得られ、可視化されます。

セキュリティー・インシデントに関連するデータと証拠の再作成

インシデントに関連するネットワークの関連性を見つけるのに役立つデータ・ピボット機能を組み込んでいます。ネットワークとファイルのメタデータと、Webページや文書からのテキストを含むパケット・キャプチャー・データ(PCAP)のペイロード・コンテンツを使用して、複数の索引を作成します。アナリストが、特定のQRadarの攻撃に関連するパケットのみが含まれるように検索結果をフィルタリングできるようにすることで、悪意のあるトラフィックを素早く簡単に見つけることができるようにします。IBM X-Forceなどの、インターネット脅威情報フィードによって特定される攻撃のテストを可能にします。

IBM QRadar Security Intelligence Platformとの統合

QRadarの単一コンソール・ユーザー・インターフェースを右クリック統合機能とともに使用して、パケット・キャプチャー・サーチ要求を入力します。ポイント・アンド・クリック・ツールを使用して、IPアドレスもしくはMACアドレス、e-メール、チャット、およびソーシャル・メディアIDに基づく拡張された関係またはデジタル・インプレッションを、より詳しく分析して可視化します。

脅威防止の連携と管理の実現

IBM Security App Exchangeにアクセスできます。

お客様による導入事例

  • サイバー犯罪者の段階的行動の見直し

    問題点

    インシデントに本当に関連している疑わしい行動の識別。

    ソリューション

    サイバー犯罪者の行動を識別して、侵入の影響を詳しく洞察し、再発を防止します。

  • セキュリティー攻撃のデータを再構成

    セキュリティー攻撃のデータを再構成

    問題点

    セキュリティー・インシデントの全範囲の判別。

    ソリューション

    修復のために、セキュリティー・インシデントの証拠プロファイルを編集します。セキュリティー・インシデント関連データを再作成し、攻撃を段階的に詳しく理解します。インターネット検索エンジンと同様のインターフェースにより、照会のプロセスを簡素化します。

  • 時間の節約とコストの削減

    問題点

    フォレンジックは手動で行われ、専門のツールと技術的スキルを必要としていました。

    ソリューション

    ITセキュリティー・チームは、特殊なスキルや研修がなくても、綿密なフォレンジック調査を素早く簡単に実行して、セキュリティー侵害の詳細に対する可視性を得られます。

  • 既存のインフラストラクチャーの活用

    問題点

    さまざまな種類のシステムやツールを使用する必要があり、攻撃を目的とした接続をお客様自身が検出する必要があります。

    ソリューション

    オプションで、既存のPCAPインフラストラクチャーを使用するか、QRadar Incident Forensics専用の新規システムを入手します。

技術的詳細

ソフトウェア要件

ハードウェアとソフトウェアの互換性については、「IBM Security QRadar Incident Forensics Installation Guide」でシステム要件の詳細を参照してください。

    ハードウェア要件

    IBM QRadar Incident Forensicsは、ハードウェア、ソフトウェア、仮想アプライアンスとして利用できます。 以下のハードウェア・コンポーネントにアクセスできることを確認してください。

    QRadar Console、Event Processorコンポーネント、QRadar QFlow Collectorコンポーネントなど、データを保管するすべてのシステム用の無停電電源装置(UPS)。システムをシリアル・コンソールに接続する場合はヌル・モデム・ケーブル。

    QRadar製品は、ハードウェア・ベースのRedundant Arrays of Independent Disks(RAID)実装をサポートしていますが、ソフトウェア・ベースのRAIDのインストール済み環境はサポートしていません。

    • モニターとキーボード、またはシリアル・コンソール

    技術仕様

    OS: Red Hat Enterprise Linux(RHEL)Server 6。前提条件: IBM Security QRadar SIEM 7.2.2、今後のフィックス・パック。

    QRadar Incident Forensicsは、IBM QRadar Security Intelligence Platformに統合されます。分散インストールの場合、IBM QRadar Incident Forensicsアプライアンス(IBM Security QRadar Incident Forensics Processor)を管理対象ホストとしてQRadarアプライアンスに追加できるようになりました。

    1次または2次のQRadar Incident Forensicsノードはなくなりました。各QRadar Incident ForensicsのプロセッサーはQRadarコンソールによって管理されます。