Полезные сведения о функциях

Воспроизведение последовательности действий киберпреступников

IBM® QRadar® Incident Forensics позволяет быстрее расследовать инциденты и реагировать на них. Он прост в использовании и требует минимального обучения, что позволяет специалистам по ИТ-безопасности быстро и эффективно расследовать инциденты. Продукт обеспечивает сбор расширенных данных о безопасности, которые включают в себя не только протоколы событий и передаваемые по сети потоки данных, но и полные данные перехваченных пакетов, а также документы и элементы, хранящиеся в цифровом формате. Он помогает получить полное представление о ситуации и наглядно увидеть инициатора, время, место и способ атаки.

Реконструкция данных и признаков, имеющих отношение к инциденту безопасности

Предусмотрена возможность сведения данных, помогающие найти сетевые взаимосвязи, имеющие отношение к инциденту. Создает индексы на основе метаданных файлов и сети, а также полезной нагрузки из данных перехвата пакетов (PCAP), в том числе текста с веб-страниц и из документов. Помогает аналитикам фильтровать результаты поиска, оставляя в них только пакеты, связанные с конкретным нарушением QRadar, для быстрого выявления вредоносного трафика. Дает возможность тестирования на предмет атак, выявленных средствами анализа угроз в Интернете, например IBM X-Force®.

Поддерживает интеграцию с платформой IBM QRadar Security Intelligence Platform

Использует пользовательский интерфейс единой консоли QRadar, в том числе интеграцию такой возможности, как заполнение запроса на поиск в перехваченных пакетах по правому щелчку мыши. Позволяет провести углубленный анализ или просмотреть расширенные взаимосвязи или цифровые представления в зависимости от IP или MAC-адреса, адреса электронной почты, идентификатора в чате и социальных сетях, используя функции работы с мышью.

Совместные действия по предотвращению угроз и управлению ими

Предусмотрена возможность предоставления доступа к IBM Security App Exchange.

Техническая информация

Требования к программному обеспечению

Информацию об аппаратной и программной совместимости можно найти в подробном списке системных требований, приведенном в Руководстве по установке IBM Security QRadar Incident Forensics.

    Требования к аппаратному обеспечению

    Решение QRadar® Incident Forensics доступно в виде аппаратного, программного или виртуального устройства. У вас должен быть доступ к следующим аппаратным компонентам:

    Источник бесперебойного питания (UPS) для всех систем хранения данных, в частности: консоль QRadar, компоненты процессора управления событиями или компоненты QRadar QFlow Collector; нуль-модемный кабель, если требуется подключить систему к последовательной консоли.

    Продукты QRadar поддерживают RAID в аппаратной реализации, но не поддерживают в программной.

    • Монитор и клавиатура или последовательная консоль

    Технические спецификации

    ОС: Red Hat Enterprise Linux (RHEL) Server 6. Предварительные требования: IBM Security QRadar SIEM 7.2.2 и последующие пакеты исправлений

    QRadar Incident Forensics интегрирован в IBM QRadar Security Intelligence Platform. При распределенной установке теперь можно добавить к устройству QRadar устройство QRadar Incident Forensics (IBM Security QRadar Incident Forensics Processor) в качестве управляемого хоста.

    Узлы QRadar Incident Forensics не делятся на основные и вспомогательные. Каждый процессор QRadar Incident Forensics управляется консолью QRadar.