Miért az IBM QRadar Security Intelligence?

Az IBM QRadar termékcsaládja évek óta a vezető termék a Gartner Security Information and Event Management (SIEM) riportjában. A termékcsalád magában foglalja a SIEM, log-, sebezhetőség- (vulnerability), konfiguráció- (risk) és felderítés- (incident forensics) menedzsment területeket is, mindezt egyetlen homogén platformon, amivel önmagában is egyedülálló a piacon. Az egyes komponensek telepíthetők külön-külön is, vagy folyamatosan egymásra építkezve.

A IBM QRadar legfőbb erősségei

  • Automatizált: egyszerű és gyors bevezetés, valamint üzemeltetés
    • adatforrások automatikus konfigurálása,
    • gyárilag beállított szabályok és jelentések (később testre szabhatók),
    • sebezhetőségek és támadások automatikus frissítése.
  • Integrált: az egyetlen megoldás a piacon, amely egy platformon valósítja meg a részletesen felsorolt 6 fő funkciót (flow, packets, vulnerabilites, configurations, logs, events)
  • Intelligens: valós idejű analízis akár egy másodperc alatt beömlő sok millió adat teljes tartalmára

Tradícionális IT biztonsági megoldás kontra IBM QRadar Security Intelligence

A nagy cégek kínálata mellett nagyon sok más szállító megoldásával is találkozhatnak az ügyfelek a piacon. Az IBM QRadar mindezen funckiókat egy platformon valósítja meg:

  • Flow: hálózati folyam (netflow) analitika vagy legújabb nevén User Behavior Analytics. A routerekből / switchekből származó netflow rekordok valós idejű feldolgozása annak érdekében, hogy a megszokottól eltérő eseményeket kiszűrjük és erről riasztást kapjunk. A QRadar esetén ez az alap SIEM funkció része.
  • Packets: a teljes hálózati forgalom csomagjainak tárolása, indexelése az ismert protokollok alapján annak érdekében, hogy egy incidens esetén a kiváltó okokat pontosan fel tudjuk deríteni. QRadar esetén ez a funkció a QRadar Incident Forensics része.
  • Vulnerabilities: ellentétben az ismert sebezhetőségi szkennerekkel, a QRadar Vulnerability Manager megoldást is nyújt a befoltozásra, akkor is, ha az aktuális javítás nem létezik, vagy éles rendszer miatt nem telepíthető. Az eszközök sebezhetőségének folyamatos nyilvántartása pedig kulcsfontosságú paraméter a SIEM rendszer számára is, amikor a támadás súlyosságát meghatározza egy adott támadás esetén.
  • Configurations: a QRadar Risk Manager felelős a tűzfalak, routerek konfigurációjának ellenőrzéséért és a hálózat virtuális térképének megrajzolásáért.
  • Logs: tetszőleges eszköz, alkalmazás, egyszóval a cég teljes napló állományának központi kezelése. A QRadar SIEM tartalmazza a log menedzsmenet funkciókat is.
  • Events: biztonsági eseménykezelés, azaz más IT biztonsággal összefüggő alkalmazások eseményeinek fogadása és ezek korrelálása az összes fent felsorolt információval. Ilyen esemény lehet pl. a tűzfalak vagy vírusírtók által jelzett incidens. Ez a funckió is a QRadar SIEM csomag része.