QRadar SIEM

IBM QRadar SIEM to produkt ze ścisłej czołówki w zakresie kolekcji logów, ich normalizacji, korelacji, wykrywania incydentów bezpieczeństwa i raportowania we wszystkich wymienionych płaszczyznach. Dzięki temu rozwiązaniu administratorzy bezpieczeństwa, analitycy, architekci jak i osoby odpowiedzialne za ciągłość działania w organizacjach, uzyskują całościowe podejście do zarządzania zasobami informacyjnymi w firmie, działając jednocześnie proaktywnie w aspektach wczesnego wykrywania symptomów przyszłych problemów jak i szybkiej reakcji na zaistniałe incydenty (rozbudowane możliwości analizy).

System IBM QRadar realizuje wszystkie funkcjonalności stawiane wobec systemów klasy SIEM:
  • Agregacja danych – agreguje dane z wielu źródeł włączając w to: sieć, bezpieczeństwo, serwery, bazy danych, aplikacje. Umożliwia również konsolidację monitorowanych danych w celu ochrony przed utratą krytycznych zdarzeń;
  • Korelacja – w oparciu o wspólne atrybuty wykonuje połączenie zdarzeń w logiczne paczki. Umożliwia zastosowanie wielu rodzajów korelacji zdarzeń z różnych źródeł w celu stworzenia wartościowej i zsyntetyzowanej informacji;
  • Alarmowanie – automatycznie alarmuje o skorelowanych zdarzeniach; produkuje alerty i notyfikacje;
  • Dashboardy – dostarcza gotowe ekrany (widoki) prezentujące informacje na bazie zebranych zdarzeń i logów. Umożliwia tworzenie wykresów pozwalających na wychwycenie zachowań lub incydentów wykraczających poza standardowe związki i zależności;
  • Compliance (zgodność) – umożliwia wykorzystanie narzędzia do automatyzacji zbierania danych o zgodności z normami i procesami. Pozwala na ich raportowanie w odniesieniu do wdrożonych lub wymaganych procesów z zakresu bezpieczeństwa, zarządzania i audytowania;
  • Retencja – gromadzenie i przechowywanie danych historycznych w celu ich analizy i korelacji.
  • High Avalibility - IBM QRadar SIEM wspiera HA, które może być realizowane dla każdego elementu architektury. Każde z nadmiarowych urządzeń jest gotowe do natychmiastowego przełączenia i rozpoczęcia pracy zastępując uszkodzony element.
  • Integracja ze źródłami zdarzeń- IBM QRadar zapewnia natywne pobieranie logów z wielu różnych źródeł systemu informatycznego m.in. urządzeń sieciowych, urządzeń zabezpieczających infrastrukturę, systemów operacyjnych, baz danych, systemów wirtualizacji, systemów pocztowych. Dodatkowo istnieje możliwość stworzenia własnych modułów wspierających indywidualne aplikacje.
  • Integracja ze źródłami informacji o przepływach - IBM QRadar SIEM wspiera gromadzenie informacji o przepływach (ruchu) w sieci. System natywnie (bez konieczności integracji z innymi rozwiązanymi) zapewnia wsparcie dla obsługi takich protokołów przepływów jak NetFlow, sFlow, J-Flow.
  • Network Behavior Anomaly Detection - Ponadto do wykrywania anomalii w ruchu sieciowym służy wbudowany w system mechanizm NBAD, który umożliwia korelacje zdarzeń i informacji o przepływach, wnioskowanie oraz obsługę incydentów, a także ich prezentację na podstawie wszystkich zdarzeń i przepływów składowych niezależnie od miejsca ich kolekcjonowania, a ich prezentacja następuje z centralnego punku – poziomu aplikacji Web systemu QRadar SIEM.
  • Korelacja - IBM QRadar SIEM w czasie rzeczywistym realizuje odbieranie spływających do niego zdarzeń lub przepływów. Następnie są one normalizowane, korelowane, kategoryzowane i analizowane pod względem anomalii bądź naruszeń zdefiniowanych polityk bezpieczeństwa.
  • Alertowanie – Alarmy tworzone są na podstawie reguł korelacji z uwzględnieniem czasu wystąpienia zdarzenia.
  • Dashboards – System zapewnia prezentowanie danych w postaci dashbordów, które dostarczają gotowe ekrany (widoki) prezentujące informacje na bazie zebranych zdarzeń i logów. System posiada 5 wbudowanych domyślnie widoków, które wspomagają proces monitorowania bezpieczeństwa i potencjalnych zagrożeń oraz monitorowania systemu, aktywności sieciowej, aktywności aplikacji oraz spełnianie norm (compliance). System umożliwia dowolne personalizowanie wbudowanych widoków jak i również tworzenie nowych dostosowanych na potrzeby danego administratora, operatora lub managera.
  • Raportowanie – QRadar SIEM w wersji 7.2 posiada domyślnie ponad 1600 predefiniowanych raportów. Część z nich jest włączona zaraz po uruchomieniu systemu SIEM. Oprócz zestawu predefiniowanych raportów administrator ma możliwość tworzenia własnych. 



Pobierz dodatkowe materiały


Nagranie z webinarium: Praktyczne zastosowania systemów SIEM/SOC w organizacji
Obejrzyj nagranie
Datasheet: Opis najważniejszych funkcjonalności rozwiązania IBM QRadar
Pobierz datasheet

Masz pytania?


passus@passus.com

+48 695 444 803