IBM QRadar 結合日誌與網路分析、漏洞管理與掃瞄、資料外洩鑑識的 SIEM 管理平台

IBM QRadar 安全智能解決方案(Security Intelligence Platform),是企業的資訊安全與隱私保護挑戰之策略方案,能確保所選擇的解決方案能滿足立即作業面之合規性需求和長期企業的資訊安全挑戰與法規遵循要求,並且包括安全訊息和事件管理(SIEM , Security Information and Event Management),網路活動監控,先進的威脅檢測,脆弱性監測,和風險管理。

QRadar SIEM 解決方案包含日誌管理功能(QRadar Log Manager),內建IBM X-Force安全研究機構的威脅情資(IBM Security X-Force Threat Intelligence Feed)並能輕鬆結合F-ISAC情資,讓安全專業人員能快速獲取必要的可見性,從而協助其保護自身的網路、更加有效地保護 IT 資產,使其遠離日益加劇的高級威脅環境,並滿足當前及新興合規性要求。企業無疑將從這種緊密整合的解決方案中受益,進而快速輕鬆地實現企業安全智慧。

 GartnerSIEM 2017

QRadar SIEM 主要功能包括:

QRadar Platform


●   視覺化即時事件之情報儀表板(Real time View on Events and extracted intelligence on Dash board).

IBM QRadar 提供有樣的儀表板,提供快速查詢的安全管理衡量指標之各種各樣的能力。內建儀表板模板可依照不同人員特定的角色(Role),包含資訊安管人員,法規遵循管理員和網路管理人員。 QRadar Dashboard功能是一個靈活的和可客制的儀表板的環境,使用者能夠利用保存的搜索歷史,並可以很容易地部署使用者的工作畫面環境。

客戶可透過凱信資訊自行研發的即時網路攻擊(CyberSecurity Real-Time Attack Map)與工單系統(Ticket System),讓企業更能全面了解攻擊的狀況。

AttackMap

QRadar apps (Security analytics dashboard)

Dashboard include

1.Each log source KPI & trend by daily , Malware KPI , Botnet KPI , XGS Quarantine KPI ...etc , and you can drill down the each KPI or each Bar Chart.

2.Offense Attack topology and relationship

3.Heatmap : Logon Failure and Logon Success Analytics by Source IP or Source Workstation

SOC Dashboard

●   網路異常檢測與分析(network anomaly detection):

IBM QRadar 可監控第 7 層(Layer 7)流量與封包分析,並自動對超過 1,000 個應用程式和通訊協定進行辨識,以便開展高級威脅檢測和深入取證調查,內建超過100個Flow異常偵測關聯規則,主動偵測Malware , Worm , Port Scan , C&C連線 , New Services / Hosts Discovery , 異常傳輸量...等行為。

支援Mirror Port , Netflow , Jflow ..等收集方式。

QFlow

●  內建數百個關聯規則(Correlation Rule)與Security App,快速實現價值:

由於QRadar採用全套式(All-In-One)裝置,有別於以往其他的SIEM解決方案需要一個一個訂制,QRadar內建數百個預設Best Practice關聯原則範本,並依照MITRE ATT&CK Framework制定規則,以及先進的儀表板,讓企業在幾天內就能實現價值。

UseCaseManager

Pulse

●  高級威脅檢測:

QRadar 能夠主動發現帶有已知僵屍網路命令Botnet、APT和控制伺服器、勒索軟體Ransonware (例如WannaCry) 清單的所有日誌活動,同時監控隱藏僵屍網路通信(如通過埠80 的 IRC 流量)的流量,來檢測其他安全產品無法檢測到的僵屍網路感染行為。

●  內部威脅/欺詐檢測:

QRadar 能夠檢測複雜活動模式,如嘗試多次未能通過系統身份驗證,但成功登入後複製系統資訊並透過電子郵件發送資料的使用者。QRadar 透過監控及關聯日誌和流量來識別這種異常行為。

QRadar 提供全面的風險與事件調查與影響分析能力,包含事前(攻擊前的弱點管理)、事中的事件偵測與調查、事後的補救措施