スポットライト

サイバー犯罪者の段階的行動の見直し

IBM® QRadar® Incident Forensicsは、セキュリティー・インシデントを調査して対応するために必要な時間を短縮します。使いやすいため、必要最小限の研修で、ITセキュリティー・チームは素早く効率的にセキュリティー・インシデントの調査を行えるようになります。ログ・イベントおよびネットワーク・フローを超えて、拡張されたデータ収集機能を使用して、全パケット・キャプチャーおよびデジタルで保管されている文書や要素を組み込みます。どのような攻撃が誰によって、いつどこで、どのように発生したかに関するコンテキストと可視性を得られます。

セキュリティー・インシデントに関連するデータと証拠を再作成

インシデントに関連するネットワークの関連性を表示するデータ・ピボット機能を組み込んでいます。ネットワークとファイルのメタデータと、Webページや文書からのテキストを含むパケット・キャプチャー・データ(PCAP)のペイロード・コンテンツを使用して複数の索引を作成します。アナリストが特定の不正なトラフィックの位置を素早く簡単に検出する手助けをし、検索結果に特定のQRadarの攻撃と関連するパケットのみが含まれるようにフィルタリングするために役立ちます。IBM X-Force®などのインターネットの脅威インテリジェンスのフィードで確認された攻撃のテストを実施できます。

IBM QRadar Security Intelligence Platformと統合

右クリックの統合機能を含むQRadarの単一コンソール・ユーザー・インターフェースを使用して、パケット・キャプチャーの検索要求を取り込みます。ポイント・アンド・クリック・ツールを使用して、IPアドレスもしくはMACアドレス、e-メール、チャット、およびソーシャル・メディアIDに基づく拡張された関係またはデジタル・インプレッションをより詳しく分析して可視化します。

脅威防止の連携と管理を実現

IBM Security App Exchangeにアクセスできます。

技術的詳細

ソフトウェア要件

ハードウェアとソフトウェアの互換性については、「IBM Security QRadar Incident Forensics Installation Guide」でシステム要件の詳細を参照してください。

    ハードウェア要件

    QRadar® Incident Forensicsは、ハードウェア、ソフトウェア、仮想アプライアンスとして利用できます。 以下のハードウェア・コンポーネントにアクセスできることを確認してください。

    QRadar Console、Event Processorコンポーネント、QRadar QFlow Collectorコンポーネントなど、データを保管するすべてのシステム用の無停電電源装置(UPS)。システムをシリアル・コンソールに接続する場合はヌル・モデム・ケーブル。

    QRadar製品は、ハードウェア・ベースのRAID (Redundant Arrays of Independent Disks)実装をサポートしていますが、ソフトウェア・ベースのRAIDのインストール済み環境はサポートしていません。

    • モニターとキーボード、またはシリアル・コンソール

    技術仕様

    OS: Red Hat Enterprise Linux (RHEL) Server 6。前提条件: IBM Security QRadar SIEM 7.2.2、今後のフィックスパック。

    QRadar Incident Forensicsは、IBM QRadar Security Intelligence Platformに統合されます。分散インストールの場合、QRadar Incident Forensicsアプライアンス(IBM Security QRadar Incident Forensics Processor)を管理対象ホストとしてQRadarアプライアンスに追加できるようになりました。

    1次または2次のQRadar Incident Forensicsノードはなくなりました。各QRadar Incident ForensicsプロセッサーはQRadarコンソールによって管理されます。