Полезные сведения

Воспроизведение последовательности действий киберпреступников

IBM® QRadar® Incident Forensics позволяет быстрее расследовать инциденты и реагировать на них. Он прост в использовании и требует минимального обучения, что позволяет специалистам по ИТ-безопасности быстро и эффективно расследовать инциденты. Продукт обеспечивает сбор расширенных данных о безопасности, которые включают в себя не только журналы событий и передаваемые по сети потоки данных, но и полные данные перехваченных пакетов, а также документы и элементы, хранящиеся в цифровом формате. Он помогает получить полное представление о ситуации и наглядно увидеть инициатора, время, место и способ атаки.

Реконструкция данных и признаков, имеющих отношение к инциденту безопасности

Предусмотрена возможность сведения данных, помогающие найти сетевые взаимосвязи, имеющие отношение к инциденту. Создает индексы на основе метаданных файлов и сети, а также полезной нагрузки из данных перехвата пакетов (PCAP), в том числе текста с веб-страниц и из документов. Помогает аналитикам фильтровать результаты поиска, оставляя в них только пакеты, связанные с конкретным нарушением QRadar, для быстрого выявления вредоносного трафика. Дает возможность тестирования на предмет атак, выявленных средствами анализа угроз в Интернете, например IBM X-Force®.

Интеграция с платформой IBM QRadar Security Intelligence Platform

Использует пользовательский интерфейс единой консоли QRadar, в том числе интеграцию такой возможности, как заполнение запроса на поиск в перехваченных пакетах по правому щелчку мыши. Позволяет провести углубленный анализ или просмотреть расширенные взаимосвязи или цифровые представления в зависимости от IP или MAC-адреса, адреса электронной почты, идентификатора в чате и социальных сетях, используя функции работы с мышью.

Совместные действия по предотвращению угроз

Предусмотрена возможность предоставления доступа к IBM Security App Exchange.

Как клиенты используют этот продукт

  • Снимок экрана с аналитикой инцидентов

    Пошаговое восстановление действий киберпреступника

    Проблема

    Определение того, какие из подозрительных действий действительно имеют отношение к инциденту.

    Решение

    Позволяет идентифицировать действия киберпреступников для получения полного представления о масштабе вторжения и предотвращения его в будущем.

  • Снимок экрана IBM QRadar с функцией обнаружения направлений атаки

    Воспроизведение данных в нарушении безопасности

    Проблема

    Определение полного масштаба инцидента в сфере безопасности.

    Решение

    Подготовка профилей доказательств для инцидентов в сфере безопасности, необходимых для устранения инцидентов. Воспроизводит данные, связанные с инцидентом безопасности, помогая получить подробную пошаговую картину нарушения. Интерфейс, аналогичный поисковым службам в Интернете, упрощает процесс запроса.

  • Снимок экрана с графиком анализа инцидентов

    Экономия времени и денег

    Проблема

    Раньше анализ инцидентов выполнялся вручную, требовал специализированных инструментов и специальных технических навыков.

    Решение

    Подразделения ИТ-безопасности могут быстро и легко провести тщательное исследование нарушения и выяснить все детали атаки без специальных навыков или дополнительного обучения.

  • Снимок экрана с общей информацией об инциденте

    Использование по максимуму имеющейся инфраструктуры

    Проблема

    Необходимость пользоваться разрозненными системами и инструментами в надежде установить причины инцидента.

    Решение

    Можно воспользоваться имеющейся инфраструктурой PCAP или приобрести выделенные системы для QRadar Incident Forensics.

Техническая информация

Технические спецификации

ОС: Red Hat Enterprise Linux (RHEL) Server 6. Предварительное требование: IBM Security QRadar SIEM 7.2.2 с последующими пакетами исправлений.

Требования к программному обеспечению

Информацию о совместимости оборудования можно найти в подробном списке системных требований, приведенном в Руководстве по установке IBM Security QRadar Incident Forensics.

Требования к аппаратному обеспечению

Решение QRadar Incident Forensics доступно в виде аппаратного, программного или виртуального устройства. У вас должен быть доступ к следующим аппаратным компонентам:

  • Монитор и клавиатура или последовательная консоль