Blog

IBM QRadar intelligens védelmi platform

Fejlett fenyegetésérzékelés az IBM QRadar Sense Analytics engine segítségével

Egy Platform. Egységes. Átlátható.

Intelligens. Gyors. Pontos.

IBM QRadar Security Intelligence Platform

Az IBM QRadar termékcsaládja évek óta a vezető termék a Gartner Security Information and Event Management (SIEM) riportjában. Az IBM QRadar Security Intelligence platform ötvözi a korábban illetve más gyártóknál különálló funkciókat – beleértve a log menedzsment, SIEM, hálózati viselkedés elemzés (Network Behavior Analytics), biztonsági eseménykezelés (Security Event Management), kockázat és sebezhetőség menedzsment (Risk and Vulnerability Management) területeket – létrehozva ezáltal egy egységes, intelligens és automatizált biztonsági intelligencia megoldást.

Az eredmény egy egyedülálló „egy-konzolos” biztonsági intelligencia megoldás, amely a következőket biztosítja a biztonsági szakértők számára:

  • Felfedezzenek támadásokat, amelyeket más megoldásokkal nem lenne lehetséges
  • Konszolidálják az adat silókat
  • Feltárjanak cégen belüli visszaéléseket
  • Kiértékeljék az üzletmenetet érintő biztonsági kockázatokat
  • Folyamatosan megfeleljenek törvényi és egyéb kötelezettségeknek, szabályozásoknak (pl.: ISO27001, PCI-DSS, HIPAA, SOX, 2013. évi L. törvény, 41/2015. (VII. 15.) BM rendelet

A QRadar biztonsági intelligencia megoldás a teljes infrastruktúrát átöleli azzal, hogy adatokat fogad az alábbi eszközökből és ezeken valósidejű korrelációt végez. Leggyakrabban alábbi eszközök által generált napló, esemény vagy konfigurációs információ képzi az elemzés alapját: Szerverek (fizikai és virtuális), Tartományvezérlők, Gyári és egyedi fejlesztésű alkalmazások, Levelezési rendszer, Csoportmunka támogató rendszerek, Kliens számítógépek, Rendszer menedzsment megoldások, Meglévő biztonsági eszközök (tűzfal, vírusirtó, IPS/IDS, stb.), Web szerverek, Identifikációs megoldások, Hálózati eszközök, Felhőalapú megoldások.

Az IBM QRadar legfőbb erősségei

Automatizált: Egyszerű és gyors bevezetés valamint üzemeltetés

  • A többi piaci szereplő termékeivel összehasonlítva az implementáció ideje, összetettsége és költsége egyszerűbb és kedvezőbb, hatékonyabban tervezhető
  • Automatikus konfigurálása az adatforrásoknak
  • Gyárilag beállított szabályok és jelentések (később testre szabhatók)
  • Sebezhetőségek és támadások automatikus frissítése

Integrált: az egyetlen megoldás a piacon, amely egy platformon valósítja meg a részletesen felsorolt 6 fő funkciót (flow, packets, vulnerabilites, configurations, logs, events)

Intelligens: valós idejű analízis akár egy másodperc alatt beömlő sok millió adat teljes tartalmára

Az IBM QRadar termékcsaládja

Az IBM QRadar alábbi komponensekből áll:

LOG

IBM Security QRadar Log Manager:
Nagy teljesítményű rendszer a biztonsági eseménynaplók gyűjtésére, elemzésére, archiválására és a nagy mennyiségű biztonsági és hálózati eseménynapló tárolására.

SIEM

IBM Security QRadar SIEM:
Naplóforrások eseményadatait összesíti. A nyers adatokon azonnali normalizálási és korrelációs műveleteket végez, ezáltal képes megkülönböztetni a valódi fenyegetéseket a téves riasztásoktól.

RISK

IBM Security QRadar Risk Manager:
Hálózati topológia, switch, router, tűzfal, IPS konfigurációk montitorozása, kockázat csökkentése és megfelelőség növelése.

VM

IBM Security QRadar Vulnerability Manager:
Megelőző jelleggel deríti fel a hálózati eszközök és alkalmazások biztonsági sebezhetőségét, és támogatja a helyreállítási és kárenyhítési tevékenységeket.

QNI

IBM Security QRadar QFlow for network and application activity monitoring:
Qradar SIEM-mel és a Flow processzorokkal együtt használva biztosítja a hálózatok Layer7 szintű, alkalmazási réteget érintő átláthatóságát és adatfolyam analízisét.

Flow

IBM Security QRadar VFlow for virtual activity monitoring:
QRadar SIEM-mel együtt használva biztosítja a virtuális hálózatok Layer7 szintű, alkalmazási réteget érintő átláthatóságát.

IF

IBM Security QRadar Incident Forensics:
Segítségével visszakövethető egy potenciális támadás lépései, és mélyreható security vizsgálatot végez a gyanús, rosszindulatú hálózat biztonsági eseményekkel kapcsolatban. Csökkenti a kivizsgálási időt és megakadályozza, hogy az IT hálózati biztonság megsértése újra megtörténjen.

Kiforrott és automatikus korreláció

A QRadarban egy minden igényt kielégítő korrelációs motor van több mint 1600 előre definiált szabállyal. Ez általában az esetek 80-95%-át lefedik az ügyfelek által megvalósítani kívánt korrelációs szabályok közül. Ezen szabálykészlet terjedelme egyedülálló a piacon.

Egy teljesen testre szabható és könnyen kezelhető egyedi szabály varázsló is a rendelkezésre áll, amelynek segítségével a felhasználók szerkeszthetik az alapértelmezett szabályokat vagy elkészíthetik a sajátjukat. Több száz kiértékelési parancs és függvény használható az egyedi szabályok készítésekor. A QRadar továbbá támogatja az építőkockák (building block) használatát, amely segítségével gyakran használt kiértékeléseket vagy információkat (IP címek csoportja, portok, szerver típusok, felhasználói nevek, esemény típusok) építhetünk egy eljárásba, amely később könnyen felhasználható, amikor egy új szabályt készítünk.

További, gyártó- vagy use-case specifikus korrelációs szabályok, valamint alkalmazások és Threat Intelligence feed tartalmak integrálhatóak a QRadar rendszerbe az IBM App Exchange, valamint az IBM X-Force Exchange megoldásaival, melyek segítségével kiterjeszthetjük a fenyegetésérzékelést, továbbá még részletesebb rálátást kapunk rendszerünk állapotára.

Jelentések készítése

QRadarban egy fejlett jelentéskészítő motor található, melynek segítségével a felhasználók gyorsan és egyszerűen tudnak egyedi riportokat futtatni a számukra legfontosabb kritikus eszközökre vonatkozóan. Riport készíthető a hálózat tetszőleges részéről és minden adatról, amelyet a QRadar összegyűjt. Az összes iparági szabályzatnak megfelelő megfelelőségi riport is futtatható.

A QRadarban gyárilag több ezer előrecsomagolt riport található, amelyek lefedik a teljes szervezetet vagy csak kijelölt területre fókuszálnak. Ezen standard riportok egyedi grafikonokat tartalmaznak mind vezetői mind pedig üzemeltetői munkatársak számára. A riport varázsló segít a jelentések elkészítésében, ütemezésében és disztributálásában mindenféle gyakran használt formátumban (XML, HTML, CSV). Azért, hogy az egyedi jelentés készítés egyszerűbb legyen minden elmentett keresés direkt hivatkozható a riport sablonból.

Jövőbeli irányok

Az IBM QRadar Security Intelligence megoldásának átfogó értéke abban rejlik, hogy képes a hálózatról származó információt összekötni azokkal az adatokkal, amelyek a vállalati infrastruktúra egyéb részeiről származnak. Ennek során összegyűjti, analizálja és korrelálja a rendszerek széles spektrumát, mint például hálózati eszközök, biztonsági rendszerek, szerverek, munkaállomások, operációs rendszerek és alkalmazások teljes tárházát. Ennek az eredményeként egy értelmezhető kontextusba helyezi a biztonsági szakértőket, mindamellett, hogy radikálisan csökkenti az üzemeltetés komplexitását.

A QRadar további fejlesztésének köszönhetően a Watson Advisor automatizálja a biztonsági incidensek felderítését így a biztonsági elemzőknek lehetőséget ad kifinomult fenyegetések azonosítására és megértésére akár percek még rövidebb idő alatt. Ez a technológia jelenleg egyedülálló a piacon, mely hozzá járul többek között az IBM QRadar platform piacvezető szerepének megőrzéséhez. Az IBM QRadar 2009 óta vezető a Gartner Magic Quadrant – SIEM elemzésében.

  • Automatizált és mélyreható elemzéssel felgyorsítja az esemény osztályozását
  • Csökkenti a fel nem fedezett fenyegetések kockázatát
  • Optimalizálja az incidenskezelési folyamatokat átfogó fenyegetés-információkkal és adatokkal

Kérdéseket intézhet, észrevételeket küldhet az S&T szakértőinek, kérem vegye fel velünk a kapcsolatot!

Herczeg Balázs Herczeg Balázs • Rendszermérnök

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.