Wyróżnione funkcje

Odtwarzanie, krok po kroku, działań cyberprzestępców

IBM® QRadar® Incident Forensics skraca czas badania incydentów związanych z bezpieczeństwem i umożliwia szybsze reagowanie na takie incydenty. Jest rozwiązaniem prostym w użyciu i wymaga minimalnego przeszkolenia, pozwalając zespołom odpowiedzialnym za bezpieczeństwo informatyczne szybko i efektywnie analizować dane związane z incydentami. W swoim działaniu dalece wykracza poza analizę dzienników i przepływów danych — operuje zarówno na przechwyconych w całości danych z pakietów, jak i na dokumentach i obiektach w postaci cyfrowej. Pomaga kontekstowo odpowiedzieć na szereg pytań dotyczących ataku: kto?, co?, kiedy?, gdzie? i jak?

Rekonstrukcja danych i dowodów związanych z incydentem

Rozwiązanie oferuje funkcje przestawiania danych, które pomagają w odkrywaniu relacji sieciowych istotnych dla przebiegu incydentu. Tworzy wskaźniki na podstawie metadanych sieciowych i plikowych oraz zawartości przechwyconych pakietów, w tym tekstu ze stron WWW i dokumentów. Pomaga analitykom w filtrowaniu wyników wyszukiwania, tak by zawierały tylko pakiety związane z określonym naruszeniem wykrytym przez QRadar, a tym samym ułatwia szybkie zlokalizowanie szkodliwego ruchu. Wspomaga testy ukierunkowane na ataki zidentyfikowane przez serwisy informujące o nowych zagrożeniach, takie jak IBM X-Force®.

Integracja z platformą IBM QRadar Security Intelligence Platform

Rozwiązanie korzysta z interfejsu użytkownika QRadar z jedną konsolą i umożliwia wprowadzanie zapytań o dane z przechwyconych pakietów po kliknięciu prawym przyciskiem myszy. Zawiera narzędzia do pogłębionej analizy i wizualizacji relacji obsługiwane na zasadzie wskazywania i klikania. Tworzy również cyfrowe „odciski palców” na podstawie adresów IP lub MAC, adresów e-mail i tożsamości na czacie oraz w mediach społecznościowych.

Współpraca przy zapobieganiu zagrożeniom

Dostęp do IBM Security App Exchange.

Szczegóły techniczne

Wymagania dotyczące oprogramowania

Informacje o kompatybilności sprzętu i oprogramowania zawiera sekcja dotycząca wymagań systemowych w podręczniku instalowania rozwiązania IBM Security QRadar Incident Forensics.

    Wymagania sprzętowe

    Rozwiązanie QRadar® Incident Forensics jest dostępne jako dedykowane urządzenie sprzętowe, oprogramowanie lub urządzenie wirtualne. Należy zapewnić dostęp do następujących komponentów sprzętowych:

    zasilacza bezprzerwowego (UPS) dla wszystkich systemów przechowujących dane, takich jak QRadar Console, komponenty procesora zdarzeń lub komponenty QRadar QFlow Collector; przewód typu null modem, jeśli system ma być podłączony do konsoli przez interfejs szeregowy.

    Produkty QRadar obsługują sprzętowe implementacje macierzy RAID, ale nie obsługują programowych instalacji RAID.

    • Monitor i klawiatura lub konsola z interfejsem szeregowym

    Dane techniczne

    System operacyjny: Red Hat Enterprise Linux (RHEL) Server 6. Oprogramowanie wymagane wstępnie: IBM Security QRadar SIEM 7.2.2 i późniejsze pakiety poprawek

    Produkt QRadar Incident Forensics jest zintegrowany z platformą IBM QRadar Security Intelligence Platform. W przypadku instalacji rozproszonych można teraz dodać dedykowane urządzenie QRadar Incident Forensics (IBM Security QRadar Incident Forensics Processor) jako host zarządzany do urządzenia dedykowanego QRadar.

    Nie ma już rozróżnienia na podstawowy i dodatkowy węzeł QRadar Incident Forensics. Każdy procesor QRadar Incident Forensics zarządzany jest z konsoli QRadar.