焦點特色

重新追蹤網路罪犯的逐步動作

IBM® QRadar® Incident Forensics 可節省調查和回應資安事件所需的時間。它不僅簡單好用,而且只需最少程度的訓練,讓 IT 安全團隊可以快速有效地研究安資安事件。其資料收集能力包含完整封包擷取,超越了日誌事件和網路流程的方式,而且可以數位化儲存文件和元素。同時協助提供環境定義以及攻擊者、攻擊內容、攻擊時間、攻擊地點及攻擊方式的洞見。

重建與資安事件相關的資料和證據

包含資料樞軸,協助發掘涉及事件的網路關係。 使用網路與檔案 meta 資料以及封包擷取資料 (PCAP) 的有效負載內容(例如網頁和文件的文字)來建立索引。協助分析過濾器搜尋結果,僅包含與特定 QRadar 攻擊相關聯的封包,協助他們快速輕鬆地找出惡意流量。對於像是 IBM X-Force® 等網際網路威脅情報資訊來源所找到的攻擊進行測試。

與 IBM QRadar Security Intelligence Platform 整合

使用 QRadar 單一主控台使用者介面與按一下滑鼠右鍵的整合能力來移入封包擷取搜尋要求。包含點按方式工具,可以更深度地分析延伸關係並呈現視覺圖表,或根據 IP 或 MAC 位址、電子郵件、聊天及社群媒體身分產生數位印記。

實現威脅預防協同作業和管理

允許存取 IBM Security App Exchange。

技術詳細資料

硬體需求

QRadar® Incident Forensics 可以作為硬體、軟體或虛擬軟體驅動裝置使用。 確認您可以存取下列硬體元件:

所有儲存資料系統,例如 QRadar Console、 Event Processor 元件或 QRadar QFlow Collector 元件都要具備不斷電供電系統 (UPS);如果您想要將系統連線至序列主控台,則需要虛擬數據機纜線。

QRadar 產品可支援硬體式的獨立磁碟的備用陣列 (RAID) 實作,但是不支援軟體式的 RAID 安裝。

  • 選擇螢幕和鍵盤,還是一個序列主控台

軟體需求

如需有關硬體和軟體相容性的資訊,請參閱 IBM Security QRadar Incident Forensics 安裝手冊中的詳細系統需求。

    技術規格

    作業系統:Red Hat Enterprise Linux (RHEL) Server 6。必要條件: IBM Security QRadar SIEM 7.2.2 與未來修正套件

    QRadar Incident Forensics 已整合至 IBM QRadar Security Intelligence Platform。如需分散式安裝,現在可以將 QRadar Incident Forensics 軟體驅動裝置 (IBM Security QRadar Incident Forensics Processor) 新增為 QRadar 軟體驅動裝置的代管主機。

    主要或次要 QRadar Incident Forensics 節點已經不再使用。每個 QRadar Incident Forensics 處理器都會由 QRadar 主控台來代管。