Wyróżnione funkcje
Odtwarzanie, krok po kroku, działań cyberprzestępców
IBM® QRadar® Incident Forensics skraca czas badania incydentów związanych z bezpieczeństwem i umożliwia szybsze reagowanie na takie incydenty. Jest rozwiązaniem prostym w użyciu i wymaga minimalnego przeszkolenia, pozwalając zespołom odpowiedzialnym za bezpieczeństwo informatyczne szybko i efektywnie analizować dane związane z incydentami. W swoim działaniu dalece wykracza poza analizę dzienników i przepływów danych — operuje zarówno na przechwyconych w całości danych z pakietów, jak i na dokumentach i obiektach w postaci cyfrowej. Pomaga kontekstowo odpowiedzieć na szereg pytań dotyczących ataku: kto?, co?, kiedy?, gdzie? i jak?
Rekonstrukcja danych i dowodów związanych z incydentem
Rozwiązanie oferuje funkcje przestawiania danych, które pomagają w odkrywaniu relacji sieciowych istotnych dla przebiegu incydentu. Tworzy wskaźniki na podstawie metadanych sieciowych i plikowych oraz zawartości przechwyconych pakietów, w tym tekstu ze stron WWW i dokumentów. Pomaga analitykom w filtrowaniu wyników wyszukiwania, tak by zawierały tylko pakiety związane z określonym naruszeniem wykrytym przez QRadar, a tym samym ułatwia szybkie zlokalizowanie szkodliwego ruchu. Wspomaga testy ukierunkowane na ataki zidentyfikowane przez serwisy informujące o nowych zagrożeniach, takie jak IBM X-Force®.
Integracja z platformą IBM QRadar Security Intelligence Platform
Rozwiązanie korzysta z interfejsu użytkownika QRadar z jedną konsolą i umożliwia wprowadzanie zapytań o dane z przechwyconych pakietów po kliknięciu prawym przyciskiem myszy. Zawiera narzędzia do pogłębionej analizy i wizualizacji relacji obsługiwane na zasadzie wskazywania i klikania. Tworzy również cyfrowe „odciski palców” na podstawie adresów IP lub MAC, adresów e-mail i tożsamości na czacie oraz w mediach społecznościowych.
Współpraca przy zapobieganiu zagrożeniom
Dostęp do IBM Security App Exchange.
Jak klienci używają tego rozwiązania
-
Możliwość odtworzenia kolejnych kroków cyberprzestępcy
Problem
Określenie, które z podejrzanych działań ma naprawdę znaczenie dla danego incydentu.
Rozwiązanie
Identyfikowanie działań cyberprzestępców w celu przeprowadzania pogłębionych analiz konsekwencji włamania i sprawnego zapobiegania jego powtórzeniu.
-
Rekonstrukcja danych wykorzystanych w ataku
Problem
Określenie pełnej skali incydentu dotyczącego bezpieczeństwa
Rozwiązanie
Eliminowanie zagrożeń dzięki kompilowaniu profili ewidencyjnych incydentów dotyczących bezpieczeństwa. Umożliwia zrekonstruowanie danych wykorzystanych podczas incydentu, a tym samym szczegółowe odtworzenie przebiegu naruszenia. Uproszczone przetwarzanie zapytań dzięki interfejsowi przypominającemu wyszukiwarkę internetową.
-
Oszczędność czasu i niższe koszty
Problem
Dochodzenia są przeprowadzane ręcznie, wymagają profesjonalnych narzędzi i specjalistycznych umiejętności technicznych.
Rozwiązanie
Zespoły odpowiedzialne za bezpieczeństwo IT mogą szybko przeprowadzać dochodzenia i uzyskiwać wgląd w szczegółowe informacje o naruszeniu zabezpieczeń. Nie muszą przy tym dysponować żadnymi szczególnymi kompetencjami ani przechodzić dodatkowych szkoleń.
-
Wykorzystanie istniejącej infrastruktury
Problem
Konieczność korzystania z rozproszonych systemów i narzędzi oraz nadzieja na znalezienie rozwiązania, które umożliwi obronę.
Rozwiązanie
Klient może opcjonalnie korzystać z istniejącej już infrastruktury PCAP lub nabyć nowe systemy przeznaczone do obsługi rozwiązania QRadar Incident Forensics.
Szczegóły techniczne
Dane techniczne
Systemy operacyjne: Red Hat Enterprise Linux (RHEL) Server 6. Oprogramowanie wymagane wstępnie: IBM Security QRadar SIEM 7.2.2 i późniejsze pakiety poprawek.
Wymagania programowe
Informacje o kompatybilności sprzętu zawiera sekcja dotycząca wymagań systemowych w podręczniku instalowania rozwiązania IBM Security QRadar Incident Forensics.
Wymagania sprzętowe
Rozwiązanie QRadar® Incident Forensics jest dostępne jako dedykowane urządzenie sprzętowe, oprogramowanie lub urządzenie wirtualne. Należy zapewnić dostęp do następujących komponentów sprzętowych:
- Monitor i klawiatura lub konsola z interfejsem szeregowym