Полезные сведения
Воспроизведение последовательности действий киберпреступников
IBM® QRadar® Incident Forensics позволяет быстрее расследовать инциденты и реагировать на них. Он прост в использовании и требует минимального обучения, что позволяет специалистам по ИТ-безопасности быстро и эффективно расследовать инциденты. Продукт обеспечивает сбор расширенных данных о безопасности, которые включают в себя не только журналы событий и передаваемые по сети потоки данных, но и полные данные перехваченных пакетов, а также документы и элементы, хранящиеся в цифровом формате. Он помогает получить полное представление о ситуации и наглядно увидеть инициатора, время, место и способ атаки.
Реконструкция данных и признаков, имеющих отношение к инциденту безопасности
Предусмотрена возможность сведения данных, помогающие найти сетевые взаимосвязи, имеющие отношение к инциденту. Создает индексы на основе метаданных файлов и сети, а также полезной нагрузки из данных перехвата пакетов (PCAP), в том числе текста с веб-страниц и из документов. Помогает аналитикам фильтровать результаты поиска, оставляя в них только пакеты, связанные с конкретным нарушением QRadar, для быстрого выявления вредоносного трафика. Дает возможность тестирования на предмет атак, выявленных средствами анализа угроз в Интернете, например IBM X-Force®.
Интеграция с платформой IBM QRadar Security Intelligence Platform
Использует пользовательский интерфейс единой консоли QRadar, в том числе интеграцию такой возможности, как заполнение запроса на поиск в перехваченных пакетах по правому щелчку мыши. Позволяет провести углубленный анализ или просмотреть расширенные взаимосвязи или цифровые представления в зависимости от IP или MAC-адреса, адреса электронной почты, идентификатора в чате и социальных сетях, используя функции работы с мышью.
Совместные действия по предотвращению угроз
Предусмотрена возможность предоставления доступа к IBM Security App Exchange.
Как клиенты используют этот продукт
-
Пошаговое восстановление действий киберпреступника
Проблема
Определение того, какие из подозрительных действий действительно имеют отношение к инциденту.
Решение
Позволяет идентифицировать действия киберпреступников для получения полного представления о масштабе вторжения и предотвращения его в будущем.
-
Воспроизведение данных в нарушении безопасности
Проблема
Определение полного масштаба инцидента в сфере безопасности.
Решение
Подготовка профилей доказательств для инцидентов в сфере безопасности, необходимых для устранения инцидентов. Воспроизводит данные, связанные с инцидентом безопасности, помогая получить подробную пошаговую картину нарушения. Интерфейс, аналогичный поисковым службам в Интернете, упрощает процесс запроса.
-
Экономия времени и денег
Проблема
Раньше анализ инцидентов выполнялся вручную, требовал специализированных инструментов и специальных технических навыков.
Решение
Подразделения ИТ-безопасности могут быстро и легко провести тщательное исследование нарушения и выяснить все детали атаки без специальных навыков или дополнительного обучения.
-
Использование по максимуму имеющейся инфраструктуры
Проблема
Необходимость пользоваться разрозненными системами и инструментами в надежде установить причины инцидента.
Решение
Можно воспользоваться имеющейся инфраструктурой PCAP или приобрести выделенные системы для QRadar Incident Forensics.
Техническая информация
Технические спецификации
ОС: Red Hat Enterprise Linux (RHEL) Server 6. Предварительное требование: IBM Security QRadar SIEM 7.2.2 с последующими пакетами исправлений.
Требования к программному обеспечению
Информацию о совместимости оборудования можно найти в подробном списке системных требований, приведенном в Руководстве по установке IBM Security QRadar Incident Forensics.
Требования к аппаратному обеспечению
Решение QRadar Incident Forensics доступно в виде аппаратного, программного или виртуального устройства. У вас должен быть доступ к следующим аппаратным компонентам:
- Монитор и клавиатура или последовательная консоль