アドオン

使用するアプリケーションもあれば、使用しないアプリケーションもあります。 これは、Data Storeのデータでは分析や相関分析が行われないため、分析駆動型のアプリケーションがData Storeを使用して収集されたデータを完全に使用できない場合があるからです。 レポート作成、解析、カスタム・プロパティーとカスタム・ダッシュボードなど、他のすべての機能は予想どおりに機能するはずです。

QRadar 7.3.1以降が必要です。

Data Storeは、QRadarライセンス交付オーバーレイであり、既存のストレージとイベント処理プログラムやデータ・ノードの処理能力を利用して、Data Storeの対象として識別されたデータを収集、処理、保管します。 新しいアプライアンスは必要ありませんが、追加のデータ・ノードを購入して、データ・ストレージのニーズをサポートできる場合があります。

Data Storeは主としてログ管理に使用されます。したがって、Data Storeのデータは相関分析や高度なセキュリティー分析機能からは除外されます。ただし、Data Storeのデータは、検索、レポート作成、可視化などの他のほとんどの機能によって使用できるのに加えて、QRadar App Frameworkを使用して構築されたカスタム・アプリケーションででも使用できます。

Data Storeのデータは、履歴相関分析には使用できません。ただし、Data StoreのデータをSIEMデータから分けるフィルタリング・ポリシーは、簡単に変更できます。このポリシーを更新するとすぐに、収集される未来のすべてのデータが、QRadar内のすべての分析処理と相関分析処理に含められるようになります。

はい。 QRadarコンソールで実行される場合、UBAアプリケーションには最小64 GB、最大128 GBのメモリーが必要です。また、機械学習アプリケーションを使用可能にしてUBAアプリケーションを実行することによるメリットを十分に活用するために、アプリケーション・ホストのデプロイメントを検討してください。

UBAは、QRadar Security Analyticsソリューションに直接統合されて、既存のQRadarユーザー・インターフェースとデータベースを活用します。企業全体のすべてのセキュリティー・データは1カ所に保持できます。また、アナリストは、新しいシステムを習得する必要なしに、ルールの調整、レポートの生成、データの接続を行うことができます。

UBAはQRadarと同じ基礎データベースを共有しているため、QRadarに取り込まれたすべてのデータ・ソースはUBAから表示・利用できます。

UBAは、ユーザーのID情報を取り込んでまとめるLDAPアプリケーション、データと分析を可視化するUBAアプリケーション、ユーザーのアクティビティーの振る舞いモデルを作成するために使用される機械学習アルゴリズムのライブラリーを提供する機械学習アプリケーションという3つのアプリケーションのコレクションとしてパッケージされています。

異常検知は、予想される行動に適合せず、データの大多数とは著しく異なる、普通でないパターンを識別するために使用される技法です。

リスク・スコアとは、ユーザーのアクティビティーの潜在的な有害さを示す数値尺度です。 UBAによって検知されたそれぞれの異常な行動は、個々のユーザーのリスク・スコアに影響を与えます。

機械学習アルゴリズムは、共有QRadarデータベースから過去4週間のデータを取り込み、通常3時間から24時間かけて通常の動作モデルを作成します。

UBAアプリケーションは、オンプレミスのQRadar、クラウド上、または任意のIaaSあるいはハイブリッド・デプロイメントのQRadarにデプロイできます。

UBAアプリケーションは、QRadarのお客様に追加コストなしで提供されます。

IBMサポートには、優先順位の高い問題に対応できる専用の要員がいます。UBAアプリケーションには、LDAP、UBA、機械学習分析の各アプリケーションの使用に対するヘルプとサポートのセクションが組み込まれています。

すべてのQRadarアプリケーションやモジュールと同様に、データは保存時に暗号化されます。