주목받는 기능

사이버 범죄자의 단계별 행동 재추적

IBM® QRadar® Incident Forensics를 사용하여 보안 사고를 조사하고 이에 대응하는 데 소요되는 시간을 줄이세요. 이 오퍼링은 사용하기 편리하며 최소한의 훈련만 필요로 하기 때문에 IT 보안팀이 보안 사고를 빠르고 효율적으로 연구할 수 있습니다. 이 오퍼링의 데이터 수집 기능은 로그 이벤트와 네트워크 플로우를 뛰어넘어 완전한 패킷 확보와 디지털 방식으로 저장된 문서 및 요소까지 수집합니다. 또한 이 오퍼링으로 공격의 주체, 형태, 시기, 위치, 방식에 대한 컨텍스트와 가시성을 확보할 수 있습니다.

보안 사고와 관련된 데이터 및 증거 재구축

이 오퍼링에는 데이터 피벗팅이 포함되어 있으므로 사고와 관련된 네트워크 관계를 발견할 수 있습니다. 네트워크 및 파일 메타데이터와 웹 페이지 및 문서의 텍스트를 포함하는 패킷 확보 데이터(PCAP)의 페이로드 콘텐츠를 사용하여 인덱스를 작성하세요. 분석가들은 이 오퍼링을 사용하여 검색 결과에 특정 QRadar 공격과 관련된 패킷만 포함되도록 필터링할 수 있어 빠르고 쉽게 악성 트래픽을 찾을 수 있습니다. IBM X-Force®와 같은 인터넷 위협 인텔리전스 피드로 확인된 공격이 있는지 테스트할 수 있습니다.

IBM QRadar Security Intelligence Platform과 통합

마우스 오른쪽 클릭으로 통합할 수 있는 기능이 포함된 QRadar 단일 콘솔 사용자 인터페이스를 사용하여 패킷 확보 검색 요청을 입력하세요. 이 오퍼링에는 IP 또는 MAC 주소, 이메일, 채팅, 소셜 미디어 ID를 기반으로 하는 디지털 임프레션(Digital Impression) 또는 확장된 관계에 대한 심층 분석과 시각화를 수행할 수 있는 포인트 앤 클릭 툴이 포함되어 있습니다.

위협 방지 협업 및 관리 지원

IBM Security App Exchange에 대한 액세스를 허용할 수 있습니다.

기술 요구사항

소프트웨어 요구사항

하드웨어 및 소프트웨어 기능에 대한 정보는 IBM Security QRadar Incident Forensics 설치 가이드의 상세 시스템 요구사항을 알아보세요.

    하드웨어 요구사항

    QRadar® Incident Forensics는 하드웨어, 소프트웨어 또는 가상 어플라이언스로 사용할 수 있습니다. 다음 하드웨어 구성요소에 대한 액세스를 보유하고 있는지 알아보세요.

    QRadar Console, Event Processor 구성 요소 또는 QRadar QFlow Collector 구성 요소 등 데이터를 저장하는 모든 시스템을 위한 무중단 전원 공급 장치(UPS): 일련의 콘솔에 시스템을 연결하고 싶은 경우 Null 모뎀 케이블을 사용하세요.

    QRadar 제품은 하드웨어 기반의 RAID(Redundant Array of Independent Disk) 구현을 지원하지만, 소프트웨어 기반의 RAID 설치는 지원하지 않습니다.

    • 모니터와 키보드 또는 일련의 콘솔

    기술 스펙

    OS: Red Hat Enterprise Linux(RHEL) Server 6. 필수 소프트웨어: IBM Security QRadar SIEM 7.2.2 및 수정팩

    QRadar Incident Forensics는 IBM QRadar Security Intelligence Platform과 통합됩니다. 분산 설치의 경우 이제 QRadar Incident Forensics 어플라이언스(IBM Security QRadar Incident Forensics 프로세서)를 QRadar 어플라이언스에 대한 관리 호스트로 추가할 수 있습니다.

    기본 또는 보조 QRadar Incident Forensics 노드는 더 이상 제공되지 않습니다. 각 QRadar Incident Forensics 프로세서는 QRadar 콘솔로 관리할 수 있습니다.