Современные киберпреступники при атаках систем защиты компаний используют все более изощренные методы. Чтобы противодействовать им, департаменты информационной безопасности вынуждены анализировать и интерпретировать огромное количество событий в день. Компания IBM для защиты от угроз сетевой безопасности предлагает решение IBM QRadar Security Intelligence Platform, которое предоставляет единую архитектуру для интегрирования информации о безопасности и управления событиями (SIEM) и журналами, определения аномальных ситуаций, анализа инцидентов, реагирования на них, управления настройками и устранения уязвимостей.
Единая архитектура QRadar Security Intelligence Platform позволяет анализировать журналы, сетевые потоки, пакеты, уязвимости, а также данные о пользователях и ресурсах. Использование Sense Analytics дает возможность проводить анализ корреляции для выявления наиболее серьезных угроз, атак и уязвимостей в реальном времени. Это дает возможность ИТ-отделам расставить приоритеты и выделять наиболее важные инциденты из огромного потока данных. Решение автоматически реагирует на инциденты и выполняет нормативные требования за счет возможностей сбора данных, определения их корреляции и составления отчетности. Также предусмотрен прогнозный анализ имеющихся рисков, вызванных некорректной настройкой устройств и известными уязвимостями.
IBM QRadar Security Intelligence Platform включает в себя целый ряд различных модулей. Одним из ключевых компонентов решения является инструмент IBM QRadar SIEM – система сбора и анализа событий. Он консолидирует информацию из журналов событий, поступающую от устройств, конечных точек и приложений в сети. QRadar SIEM нормализует и анализирует корреляцию для выявления угроз безопасности, а также использует передовой механизм Sense Analytics для выявления нормального поведения, обнаружения аномалий, раскрытия передовых угроз и удаления ложноположительных результатов. Этот программный модуль дает возможность собрать все связанные события в один инцидент. QRadar SIEM может включать в себя средства анализа угроз IBM X-Force Threat Intelligence со списком потенциально вредоносных IP-адресов, адресов компьютеров с вредоносным ПО, источников спама и других угроз, что позволяет внедрить упреждающий подход к обеспечению безопасности. Кроме того, для определения приоритетов продукт умеет сопоставлять угрозы для систем с событиями и данными из сети.
Возможность создавать подробные отчеты по доступу к данным и действиям пользователей обеспечивает более эффективное управление угрозами и соответствие стандартам. Стоит также упомянуть, что QRadar SIEM можно использовать в локальных и облачных средах.
Кроме того, стоит отметить, что в ближайшее время IBM планирует использовать платформу искусственного интеллекта Watson в сфере безопасности, интегрировав ее с программным обеспечением QRadar и базой данных X-Force. Это позволит повысить уровень аналитики для определения характера угроз, а также компенсировать нехватку ИТ-персонала в сфере информационной безопасности.
Рассмотрим указанные выше возможности IBM QRadar SIEM более детально. Обеспечение прозрачности в реальном времени позволяет обнаружить неправильное использование приложений, внутреннее мошенничество и небольшие угрозы, которые можно было бы упустить из виду среди миллионов событий, происходящих ежедневно. Решение позволяет обеспечить сбор журналов и событий из различных источников, включая устройства безопасности, операционные системы, приложения, базы данных и системы управления доступом и идентификацией. Данные сетевых потоков поступают от коммутаторов и маршрутизаторов, включая данные уровня 7 (уровень приложений). Предусмотрено получение информации от систем управления доступом и идентификацией и таких служб инфраструктуры, как протокол динамической настройки узла (DHCP), а также от сканеров уязвимости в сети и приложениях.
На Dashboard-панель IBM QRadar SIEM можно вывести все необходимые отчеты и графики
QRadar SIEM выполняет мгновенную нормализацию событий и сопоставление с другими данными для обнаружения угроз и создания нормативных отчетов. Решение определяет приоритеты событий, выделяя небольшое количество реальных нарушений, несущих наиболее серьезную угрозу для бизнеса. Обнаруженные аномалии дают возможность выявить изменения в поведении, связанные с приложениями, компьютерам, пользователями и сегментами сети. При использовании ПО IBM X-Force Threat Intelligence также определяются действия, связанные с подозрительными IP-адресами.
Решение дает возможность более эффективно управлять угрозами, отслеживая серьезные инциденты и предоставляя ссылки на все требуемые данные для проведения анализа. Это позволяет обнаружить действия в нерабочее время или необычное использование приложений и облачных сервисов, а также сетевую активность, не соответствующую сохраненным шаблонам использования. Для улучшения аналитики QRadar SIEM поддерживает возможность поиска в событиях и потоках данных в режиме, близком к реальному времени, а также по сохраненным данным. Возможно выполнение объединенного поиска в больших распределенных средах. Для более глубокого понимания и лучшего отображения приложений, баз данных, продуктов для совместной работы и социальных сетей можно использовать устройства IBM QRadar QFlow и IBM QRadar VFlow Collector, которые позволяют проводить детальный анализ сетевых потоков на уровне 7.
Возможность установки в облаке SoftLayer позволяет QRadar SIEM получать оперативную информацию о безопасности в облачных средах. Причем сбор событий и потоков данных от приложений выполняется как в облаке, так и на локальных ресурсах.
Решение имеет интуитивно понятный модуль отчетов, не требующий специальных баз данных или особых навыков от ИТ-администраторов. Создание отчетов о доступе к данным и активности пользователей с возможностью отслеживания информации по имени и IP-адресу гарантирует соблюдение политик безопасности, а также соответствие нормативным требованиям.
С инструментом QRadar SIEM интегрируется ряд модулей, повышающих его эффективность. Одним из наиболее важных является QRadar Risk Manager, который сопоставляет информацию об уязвимостях с данными о топологии сети и соединениях. Решение выявляет уязвимости в сети компании и работающих в ней приложениях, оценив риски и минимизировав их. Risk Manager отслеживает конфигурацию коммутаторов, маршрутизаторов, сетевых экранов и систем предотвращения вторжений (IPS), распознавая условия, представляющие угрозу безопасности. Кроме того, он позволяет моделировать сетевые атаки и другие сценарии вторжений, внося в конфигурацию сети изменения, которые дают возможность оценить масштаб угрозы.
Еще один интересный инструмент – модуль QRadar Log Manager. Он собирает и обрабатывает данные о событиях в режиме реального времени, поступающие от маршрутизаторов, коммутаторов, брандмауэров, сетей VPN, систем обнаружения и предотвращения вторжений (IDS/IPS), антивирусных программ и других источников. Log Manager дает возможность упростить ведение необходимой отчетности и контроль за соблюдением нормативно-правовых требований.
IBM QRadar SIEM является одной из наиболее эффективных аналитических систем безопасности. Немаловажным является тот факт, что решение поддерживает работу с более чем 200 продуктов от ведущих производителей и проводит сбор, анализ и корреляцию данных через широкий спектр систем, включая сетевые решения, средства безопасности, серверы, хосты, операционные системы и приложения. Кроме того, дополнительным преимуществом решения является невысокая стоимость системы начального уровня.
Единая архитектура QRadar Security Intelligence Platform позволяет анализировать журналы, сетевые потоки, пакеты, уязвимости, а также данные о пользователях и ресурсах. Использование Sense Analytics дает возможность проводить анализ корреляции для выявления наиболее серьезных угроз, атак и уязвимостей в реальном времени. Это дает возможность ИТ-отделам расставить приоритеты и выделять наиболее важные инциденты из огромного потока данных. Решение автоматически реагирует на инциденты и выполняет нормативные требования за счет возможностей сбора данных, определения их корреляции и составления отчетности. Также предусмотрен прогнозный анализ имеющихся рисков, вызванных некорректной настройкой устройств и известными уязвимостями.
Анализатор угроз
IBM QRadar Security Intelligence Platform включает в себя целый ряд различных модулей. Одним из ключевых компонентов решения является инструмент IBM QRadar SIEM – система сбора и анализа событий. Он консолидирует информацию из журналов событий, поступающую от устройств, конечных точек и приложений в сети. QRadar SIEM нормализует и анализирует корреляцию для выявления угроз безопасности, а также использует передовой механизм Sense Analytics для выявления нормального поведения, обнаружения аномалий, раскрытия передовых угроз и удаления ложноположительных результатов. Этот программный модуль дает возможность собрать все связанные события в один инцидент. QRadar SIEM может включать в себя средства анализа угроз IBM X-Force Threat Intelligence со списком потенциально вредоносных IP-адресов, адресов компьютеров с вредоносным ПО, источников спама и других угроз, что позволяет внедрить упреждающий подход к обеспечению безопасности. Кроме того, для определения приоритетов продукт умеет сопоставлять угрозы для систем с событиями и данными из сети.
Возможность создавать подробные отчеты по доступу к данным и действиям пользователей обеспечивает более эффективное управление угрозами и соответствие стандартам. Стоит также упомянуть, что QRadar SIEM можно использовать в локальных и облачных средах.
Кроме того, стоит отметить, что в ближайшее время IBM планирует использовать платформу искусственного интеллекта Watson в сфере безопасности, интегрировав ее с программным обеспечением QRadar и базой данных X-Force. Это позволит повысить уровень аналитики для определения характера угроз, а также компенсировать нехватку ИТ-персонала в сфере информационной безопасности.
Вопросы функциональности
Рассмотрим указанные выше возможности IBM QRadar SIEM более детально. Обеспечение прозрачности в реальном времени позволяет обнаружить неправильное использование приложений, внутреннее мошенничество и небольшие угрозы, которые можно было бы упустить из виду среди миллионов событий, происходящих ежедневно. Решение позволяет обеспечить сбор журналов и событий из различных источников, включая устройства безопасности, операционные системы, приложения, базы данных и системы управления доступом и идентификацией. Данные сетевых потоков поступают от коммутаторов и маршрутизаторов, включая данные уровня 7 (уровень приложений). Предусмотрено получение информации от систем управления доступом и идентификацией и таких служб инфраструктуры, как протокол динамической настройки узла (DHCP), а также от сканеров уязвимости в сети и приложениях.
На Dashboard-панель IBM QRadar SIEM можно вывести все необходимые отчеты и графики
QRadar SIEM выполняет мгновенную нормализацию событий и сопоставление с другими данными для обнаружения угроз и создания нормативных отчетов. Решение определяет приоритеты событий, выделяя небольшое количество реальных нарушений, несущих наиболее серьезную угрозу для бизнеса. Обнаруженные аномалии дают возможность выявить изменения в поведении, связанные с приложениями, компьютерам, пользователями и сегментами сети. При использовании ПО IBM X-Force Threat Intelligence также определяются действия, связанные с подозрительными IP-адресами.
Решение дает возможность более эффективно управлять угрозами, отслеживая серьезные инциденты и предоставляя ссылки на все требуемые данные для проведения анализа. Это позволяет обнаружить действия в нерабочее время или необычное использование приложений и облачных сервисов, а также сетевую активность, не соответствующую сохраненным шаблонам использования. Для улучшения аналитики QRadar SIEM поддерживает возможность поиска в событиях и потоках данных в режиме, близком к реальному времени, а также по сохраненным данным. Возможно выполнение объединенного поиска в больших распределенных средах. Для более глубокого понимания и лучшего отображения приложений, баз данных, продуктов для совместной работы и социальных сетей можно использовать устройства IBM QRadar QFlow и IBM QRadar VFlow Collector, которые позволяют проводить детальный анализ сетевых потоков на уровне 7.
Возможность установки в облаке SoftLayer позволяет QRadar SIEM получать оперативную информацию о безопасности в облачных средах. Причем сбор событий и потоков данных от приложений выполняется как в облаке, так и на локальных ресурсах.
Решение имеет интуитивно понятный модуль отчетов, не требующий специальных баз данных или особых навыков от ИТ-администраторов. Создание отчетов о доступе к данным и активности пользователей с возможностью отслеживания информации по имени и IP-адресу гарантирует соблюдение политик безопасности, а также соответствие нормативным требованиям.
Сопутствующие компоненты
С инструментом QRadar SIEM интегрируется ряд модулей, повышающих его эффективность. Одним из наиболее важных является QRadar Risk Manager, который сопоставляет информацию об уязвимостях с данными о топологии сети и соединениях. Решение выявляет уязвимости в сети компании и работающих в ней приложениях, оценив риски и минимизировав их. Risk Manager отслеживает конфигурацию коммутаторов, маршрутизаторов, сетевых экранов и систем предотвращения вторжений (IPS), распознавая условия, представляющие угрозу безопасности. Кроме того, он позволяет моделировать сетевые атаки и другие сценарии вторжений, внося в конфигурацию сети изменения, которые дают возможность оценить масштаб угрозы.
Еще один интересный инструмент – модуль QRadar Log Manager. Он собирает и обрабатывает данные о событиях в режиме реального времени, поступающие от маршрутизаторов, коммутаторов, брандмауэров, сетей VPN, систем обнаружения и предотвращения вторжений (IDS/IPS), антивирусных программ и других источников. Log Manager дает возможность упростить ведение необходимой отчетности и контроль за соблюдением нормативно-правовых требований.
В качестве послесловия
IBM QRadar SIEM является одной из наиболее эффективных аналитических систем безопасности. Немаловажным является тот факт, что решение поддерживает работу с более чем 200 продуктов от ведущих производителей и проводит сбор, анализ и корреляцию данных через широкий спектр систем, включая сетевые решения, средства безопасности, серверы, хосты, операционные системы и приложения. Кроме того, дополнительным преимуществом решения является невысокая стоимость системы начального уровня.
Поделиться с друзьями
Serenevenkiy
Очень, очень не люблю минусы ставить. Но зачем тут рекламная листовка? Ни примеров, ни тестов, ни цифр.
opanas
Это корпоративный блог. А сама компания дистрибьюьтор, а не интегратор — особо глубоких знаний может и не иметь. Хотя, конечно же, хотелось бы поинтереснее статью.
IBM QRadar достойное решение, довольно много вещей прямо «из коробки» работают. Лидер на рынке:
zhylik
Не подскажете, можно ли на QRadar-е распарсить лог в формате JSON (плоский — поле+значение, поле+значение… — {«fieldName1»:«val1», «fieldName2»:«3»})? Не обычными регулярками из JSON-строчки выковыривать в кастомные поля, а именно писать custom_field = $.fieldName1 или вроде того?
opanas
По умолчанию такой функции в QRadar нет. Но реализовать это возможно следующим способом:
1) логи нужно сохранить в файл;
2) конвертировать из формата JSON в CSV, например https://github.com/konklone/json
3) после этого добавить logsource — Universal dsm — файл;
4) далее добавить LSX файл с описанием структуры лога, для того чтобы его парсить.
Если найдете более изящное решение — поделитесь, пожалуйста.
opanas
Ну и DSM EDITOR (с версии 7.2.8) появился.
«Instead of manually creating a log source extension to fix parsing issues or extend support for new log source types, use the DSM Editor. The DSM Editor provides different views of your data. You use the DSM Editor to extract fields, define custom properties, categorize events, and define new QID definition.
The DSM Editor provides the following views: Workspace, Log activity preview, Properties tab, Event mappings tab.»