焦點特色

重新追蹤網路罪犯的逐步動作

IBM® QRadar® Incident Forensics 可節省調查和回應資安事件所需的時間。它不僅簡單好用,而且只需最少程度的訓練,就能讓 IT 安全團隊快速有效地研究資安事件。其資料收集功能超越日誌事件和網路流程,納入完整封包擷取以及數位化儲存文件和元素。它協助提供環境定義,以及透視攻擊者、攻擊內容、攻擊時間、攻擊地點和攻擊方式的洞見。

重建與資安事件相關的資料和證據

包含資料樞軸,協助發掘涉及事件的網路關係。 使用網路和檔案中繼資料以及封包擷取資料 (PCAP) 的有效負載內容(包括網頁和文件的文字)來建立索引。協助分析過濾器搜尋結果,僅包含與特定 QRadar 攻擊相關聯的封包,藉此幫他們迅速輕鬆地找出惡意流量。對於像是 IBM X-Force® 等網際網路威脅情報資訊來源所找到的攻擊進行測試。

與 IBM QRadar Security Intelligence Platform 整合

使用 QRadar 單一主控台使用者介面與按一下滑鼠右鍵的整合能力來移入封包擷取搜尋要求。包含點按方式工具,以更深度地分析延伸關係並呈現視覺化圖表,或根據 IP 或 MAC 位址、電子郵件、聊天及社群媒體身分產生數位印記。

實現威脅預防協同作業和管理

允許存取 IBM Security App Exchange。

客戶如何運用

  • 事件鑑識調查的擷取畫面

    重新追蹤網路罪犯足跡

    問題

    分辨哪些可疑的活動與事件真正相關。

    解決方案

    識別網路罪犯的動作,深度洞察侵入行為的影響性並協助預防再次發生。

  • IBM QRadar 中強制偵測的擷取畫面

    重新建構遭受安全攻擊的資料

    問題

    判斷資安事件的完整範圍。

    解決方案

    彙整資安事件的證據輪廓以進行補救。重新建構遭遇資安事件的資料,取得詳細逐步的攻擊檢視。使用網際網路搜尋引擎之類的介面來簡化查詢過程。

  • 事件鑑識圖的擷取畫面

    節省時間並降低成本

    問題

    「鑑識調查」一直是人工作業,需要專業工具和專業技術能力。

    解決方案

    IT 安全團隊可以快速輕鬆地進行徹底鑑識調查,並透視安全侵害背後的蛛絲馬跡,無需任何特殊技能或訓練。

  • 事件概觀的擷取畫面

    善用現有基礎架構

    問題

    必須使用不同的系統和工具,並希望您找到攻擊的關聯。

    解決方案

    選擇性地使用現有的 PCAP 基礎架構,或獲得 QRadar Incident Forensics 專用的新系統。

技術詳細資料

技術規格

作業系統:Red Hat Enterprise Linux (RHEL) Server 6。必備項目:IBM Security QRadar SIEM 7.2.2 及未來修正程式套件。

軟體需求

如需硬體相容性資訊,請參閱 IBM Security QRadar Incident Forensics 安裝手冊中的詳細系統需求。

硬體需求

IBM QRadar Incident Forensics 可做為硬體、軟體或虛擬軟體驅動裝置提供。請確定您可以存取下列硬體:

  • 螢幕和鍵盤,或一個序列主控台