Система управления событиями информационной безопасности IBM QRadar

27.08.2017

Информационная безопасность – одно из наиболее быстро развивающихся направлений. Это связано с постоянно растущим количеством угроз, кибератак и других негативных факторов, влияющих на инфраструктуру предприятия. Незащищенность информации может сыграть злую шутку и дорого обойтись любой компании. Очень важно вовремя получать данные об угрозах и уязвимостях. Это позволит своевременно отреагировать и устранить их.

В таких случаях компаниям необходимо внедрять автоматизированное средство, которое поможет проанализировать состояние информационной безопасности. Лучшим интеллектуальным решением на данный момент является класс решений SIEM.

 

SIEM – это система управления событиями информационной безопасности, которая может заранее обнаружить атаки, слабые и уязвимые места в инфраструктуре компании. QRadar SIEM от компании IBM использует данные поступающие от ИТ инфраструктуры в виде потока событий, далее проводит корреляцию событий и оценку уязвимостей.

Что представляет собой IBM QRadar?

Компания IBM включила в платформу QRadar несколько модулей: QRadar SIEM, Log Manager (управление журналами), Risk Manager (управление рисками), Vulnerability Manager (управление уязвимостями), коллекторы QFlow и VFlow и Incident Forensics.

Платформа IBM QRadar

Согласно отчету Gartner за 2017 год, лидером на рынке SIEM является IBM QRadar, причем уже в течение последних 10 лет.

На рисунке ниже представлены основные возможности модулей IBM QRadar

Платформа IBM QRadar

  • Основной модуль IBM QRadar – QRadar SIEM. Данный модуль представляет собой систему, которая собирает, анализирует и управляет событиями и потоками сети из устройств, конечных точек, серверов, антивирусов, брандмауэров и различных систем предотвращения вторжений.

  • QRadar SIEM централизовано анализирует и консолидирует собранные данные с помощью технологии Sense Analytics, чтобы выявить отклонения и сложные угрозы безопасности. Этот модуль собирает все связанные между собой события в один инцидент для того, чтобы предоставить ИТ-специалистам развернутые данные об атаке, а именно время, цель, уязвимости системы, учетные данные пользователей, сведения о предыдущих угрозах и вторжениях

  • QRadar SIEM может автоматически обнаруживать источники данных, а также имеет встроенные шаблоны. Это функциональность дает возможность внедрить систему в кратчайшие сроки. Консоль управления проста в использовании и позволяет в консолидированном виде получать важную информацию по угрозам и уязвимостям. Преимуществом является то, что панель управления предоставляется как функционал, поэтому пользователи могут сами создавать и настраивать свое рабочее пространство. Детализация функционала позволяет гораздо проще обнаруживать, выбирать и анализировать события и сетевые потоки, которые непосредственно связаны с нарушениями.

Панель управления IBM QRadar SIEM

  • Основной элемент IBM QRadar SIEM – база данных, которая сохраняет информацию о событиях и потоках в сети. Система оснащена технологией DPI (deep packet inspection), которая собирает события с брандмауэров и других сетевых ресурсов и выполняет глубокий анализ сетевых пакетов.

  • Функционал QRadar SIEM также обеспечивает сбор информации о несанкционированных действиях пользователей (например, доступ к неразрешенным ресурсам, рассылка спама, переход по фишинговым ссылкам) и активности сети на уровне приложений.

  • Более того, IBM также предоставляет подписку на IBM X-Force Threat Intelligence. Данная опция предоставляет список IP-адресов, которые могут нести угрозу и являются потенциально вредоносными.

    Развернуть QRadar SIEM можно в локальных и облачных средах.

Преимущества IBM QRadar

Функциональные возможности во многом определяют основные преимущества для внедрения IBM QRadar на предприятии. Следует выделить следующие преимущества:

  1. Простая конфигурация и развертывание на локальных ресурсах и в облачной среде.

  2. Отображение событий в реальном времени или по результатам прошедших периодов.

  3. Комплексное обнаружение инцидентов и управление уязвимостями.

  4. Сильные аналитические возможности благодаря которым QRadar использует контекст для подозрительных инцидентов, что приводит к массивному сокращению данных и более высокой скорости обнаружения инцидентов.

  5. Возможность предоставлять анализ поведения и отклонений данных сетевого потока и журналов.

  6. Данные потока (сетевой трафик) и данные событий объединены в единую панель, что позволяет пользователям точно определять приоритеты данных об инцидентах, уменьшая количество ложных срабатываний.

  7. IBM Security App Exchange позволяет клиентам, деловым партнерам и другим разработчикам создавать приложения, расширяющие возможности QRadar.

  8. Интегрируется со всеми соответствующими продуктами IBM и многими сторонними поставщиками.

Каким предприятиям нужно внедрять решение IBM QRadar?

С момента своего появления система QRadar стала популярным решением для финансовой и телекоммуникационной сферы. На сегодняшний день QRadar широко используется и в других областях, в первую очередь в компаниях, у которых имеется множество ценных данных, которые необходимо защищать от различных угроз. Сюда входят и правительственные органы, финансовые, медицинские, торговые, коммуникационные и транспортные компании, стремящиеся сохранить свои данные для непрерывности бизнеса.

Внедрение IBM QRadar

Чтобы внедрение IBM QRadar было успешным, компаниям необходимо понимать, в каких ситуациях они могут использовать данное решение. Поэтому лучше всего смоделировать варианты возможных угроз и нарушений, в чем может помочь компания «Пирит». С помощью демонстрационного стенда QRadar наши специалисты помогут провести полную настройку функционала системы.

Демо-стенд работает по очень простому принципу. Информационная инфраструктура компаний постоянно создает события безопасности, которые объединяются в поток. Далее этот поток событий направляется на QRadar. Здесь компания-заказчик оценивает, какие функции можно настроить, а также какую полезную информацию можно из этого извлечь.

Специалисты компании «Пирит» также выполняют пилотные проекты по внедрению решения QRadar. Это позволяет заказчику посмотреть на примере своей инфраструктуры, как работает система.

Что касается сроков внедрения, то они зависят от масштаба проекта. Например, базовую установку для сбора данных о событиях и потоках можно выполнить за несколько дней. А более крупные проекты, где обязательно нужно провести проектирование с расчетом возможных угроз, могут длиться несколько месяцев.

Стоимость внедрения IBM QRadar зависит от количества событий в секунду + стоимость выбранных лицензий.

Если у вас возникли вопросы, касающиеся IBM QRadar, обращайтесь к специалистам компании «Пирит».

Все работы, консультации и услуги проводимые специалистами компании ПИРИТ обладают гарантией 1 год, если другое не оговорено в рамках договора. За расширенной поддержкой или полным сопровождением обращайтесь к специалистам ПИРИТ

Вводя и отправляя свои данные, я соглашаюсь с условиями пользовательского соглашения