スポットライト

サイバー犯罪者の段階的行動の見直し

IBM QRadar Incident Forensicsは、セキュリティー・インシデントを調査して対応するために費やす時間を短縮します。使いやすいため、必要最小限の研修で、ITセキュリティー・チームは素早く効率的にセキュリティー・インシデントの調査を行えるようになります。単なるログ・イベントやネットワーク・フローにとどまらず、拡張されたデータ収集機能により、フル・パケット・キャプチャーや文書やエレメントをデジタルで保存することも可能です。どのような攻撃が誰によって、いつどこで、どのように発生したかに関するコンテキスト(前後の文脈)を得られ、可視化されます。

セキュリティー・インシデントに関連するデータと証拠の再作成

インシデントに関連するネットワークの関連性を表示するデータ・ピボット機能を組み込んでいます。ネットワークとファイルのメタデータと、Webページや文書からのテキストを含むパケット・キャプチャー・データ(PCAP)のペイロード・コンテンツを使用して、複数の索引を作成します。セキュリティー・アナリストが、特定の不正なトラフィックを素早く簡単に検出できるようサポートしながら、検索結果に特定のQRadarの攻撃と関連するパケットのみが含まれるようにフィルタリングするために役立ちます。IBM X-Forceなどの、インターネット脅威情報フィードによって特定される攻撃のテストを可能にします。

IBM QRadar Security Intelligence Platformとの統合

QRadarの単一コンソール・ユーザー・インターフェースを右クリック統合機能とともに使用して、パケット・キャプチャー・サーチ要求を入力します。ポイント・アンド・クリック・ツールを使用して、IPアドレスもしくはMACアドレス、e-メール、チャット、およびソーシャル・メディアIDに基づく拡張された関係またはデジタル・インプレッションを、より詳しく分析して可視化します。

脅威防止の協業と管理を実現

IBM Security App Exchangeにアクセスできます。

技術的詳細

ソフトウェア要件

ハードウェアとソフトウェアの互換性については、「IBM Security QRadar Incident Forensics Installation Guide」でシステム要件の詳細を参照してください。

    ハードウェア要件

    IBM QRadar Incident Forensicsは、ハードウェア、ソフトウェア、仮想アプライアンスとして利用できます。 以下のハードウェア・コンポーネントにアクセスできることを確認してください。

    QRadar Console、Event Processorコンポーネント、QRadar QFlow Collectorコンポーネントなど、データを保管するすべてのシステム用の無停電電源装置(UPS)。システムをシリアル・コンソールに接続する場合はヌル・モデム・ケーブル。

    QRadar製品は、ハードウェア・ベースのRedundant Arrays of Independent Disks(RAID)実装をサポートしていますが、ソフトウェア・ベースのRAIDのインストール済み環境はサポートしていません。

    • モニターとキーボード、またはシリアル・コンソール

    技術仕様

    OS: Red Hat Enterprise Linux(RHEL)Server 6。前提条件: IBM Security QRadar SIEM 7.2.2、今後のフィックス・パック。

    QRadar Incident Forensicsは、IBM QRadar Security Intelligence Platformに統合されます。分散インストールの場合、IBM QRadar Incident Forensicsアプライアンス(IBM Security QRadar Incident Forensics Processor)を管理対象ホストとしてQRadarアプライアンスに追加できるようになりました。

    1次または2次のQRadar Incident Forensicsノードはなくなりました。各QRadar Incident ForensicsのプロセッサーはQRadarコンソールによって管理されます。