03.04.2017 На страже безопасности: IBM QRadar SIEM

Современные киберпреступники при атаках систем защиты компаний используют все более изощренные методы. Чтобы противодействовать им, департаменты информационной безопасности вынуждены анализировать и интерпретировать огромное количество событий в день. Компания IBM для защиты от угроз сетевой безопасности предлагает решение IBM QRadar Security Intelligence Platform, которое предоставляет единую архитектуру для интегрирования информации о безопасности и управления событиями (SIEM) и журналами, определения аномальных ситуаций, анализа инцидентов, реагирования на них, управления настройками и устранения уязвимостей. 

image

Единая архитектура QRadar Security Intelligence Platform позволяет анализировать журналы, сетевые потоки, пакеты, уязвимости, а также данные о пользователях и ресурсах. Использование Sense Analytics дает возможность проводить анализ корреляции для выявления наиболее серьезных угроз, атак и уязвимостей в реальном времени. Это дает возможность ИТ-отделам расставить приоритеты и выделять наиболее важные инциденты из огромного потока данных. Решение автоматически реагирует на инциденты и выполняет нормативные требования за счет возможностей сбора данных, определения их корреляции и составления отчетности. Также предусмотрен прогнозный анализ имеющихся рисков, вызванных некорректной настройкой устройств и известными уязвимостями.

Анализатор угроз


IBM QRadar Security Intelligence Platform включает в себя целый ряд различных модулей. Одним из ключевых компонентов решения является инструмент IBM QRadar SIEM – система сбора и анализа событий. Он консолидирует информацию из журналов событий, поступающую от устройств, конечных точек и приложений в сети. QRadar SIEM нормализует и анализирует корреляцию для выявления угроз безопасности, а также использует передовой механизм Sense Analytics для выявления нормального поведения, обнаружения аномалий, раскрытия передовых угроз и удаления ложноположительных результатов. Этот программный модуль дает возможность собрать все связанные события в один инцидент. QRadar SIEM может включать в себя средства анализа угроз IBM X-Force Threat Intelligence со списком потенциально вредоносных IP-адресов, адресов компьютеров с вредоносным ПО, источников спама и других угроз, что позволяет внедрить упреждающий подход к обеспечению безопасности. Кроме того, для определения приоритетов продукт умеет сопоставлять угрозы для систем с событиями и данными из сети.

Возможность создавать подробные отчеты по доступу к данным и действиям пользователей обеспечивает более эффективное управление угрозами и соответствие стандартам. Стоит также упомянуть, что QRadar SIEM можно использовать в локальных и облачных средах.

Кроме того, стоит отметить, что в ближайшее время IBM планирует использовать платформу искусственного интеллекта Watson в сфере безопасности, интегрировав ее с программным обеспечением QRadar и базой данных X-Force. Это позволит повысить уровень аналитики для определения характера угроз, а также компенсировать нехватку ИТ-персонала в сфере информационной безопасности.

Вопросы функциональности


Рассмотрим указанные выше возможности IBM QRadar SIEM более детально. Обеспечение прозрачности в реальном времени позволяет обнаружить неправильное использование приложений, внутреннее мошенничество и небольшие угрозы, которые можно было бы упустить из виду среди миллионов событий, происходящих ежедневно. Решение позволяет обеспечить сбор журналов и событий из различных источников, включая устройства безопасности, операционные системы, приложения, базы данных и системы управления доступом и идентификацией. Данные сетевых потоков поступают от коммутаторов и маршрутизаторов, включая данные уровня 7 (уровень приложений). Предусмотрено получение информации от систем управления доступом и идентификацией и таких служб инфраструктуры, как протокол динамической настройки узла (DHCP), а также от сканеров уязвимости в сети и приложениях.

image
На Dashboard-панель IBM QRadar SIEM можно вывести все необходимые отчеты и графики

QRadar SIEM выполняет мгновенную нормализацию событий и сопоставление с другими данными для обнаружения угроз и создания нормативных отчетов. Решение определяет приоритеты событий, выделяя небольшое количество реальных нарушений, несущих наиболее серьезную угрозу для бизнеса. Обнаруженные аномалии дают возможность выявить изменения в поведении, связанные с приложениями, компьютерам, пользователями и сегментами сети. При использовании ПО IBM X-Force Threat Intelligence также определяются действия, связанные с подозрительными IP-адресами.

Решение дает возможность более эффективно управлять угрозами, отслеживая серьезные инциденты и предоставляя ссылки на все требуемые данные для проведения анализа. Это позволяет обнаружить действия в нерабочее время или необычное использование приложений и облачных сервисов, а также сетевую активность, не соответствующую сохраненным шаблонам использования. Для улучшения аналитики QRadar SIEM поддерживает возможность поиска в событиях и потоках данных в режиме, близком к реальному времени, а также по сохраненным данным. Возможно выполнение объединенного поиска в больших распределенных средах. Для более глубокого понимания и лучшего отображения приложений, баз данных, продуктов для совместной работы и социальных сетей можно использовать устройства IBM QRadar QFlow и IBM QRadar VFlow Collector, которые позволяют проводить детальный анализ сетевых потоков на уровне 7.

Возможность установки в облаке SoftLayer позволяет QRadar SIEM получать оперативную информацию о безопасности в облачных средах. Причем сбор событий и потоков данных от приложений выполняется как в облаке, так и на локальных ресурсах.

Решение имеет интуитивно понятный модуль отчетов, не требующий специальных баз данных или особых навыков от ИТ-администраторов. Создание отчетов о доступе к данным и активности пользователей с возможностью отслеживания информации по имени и IP-адресу гарантирует соблюдение политик безопасности, а также соответствие нормативным требованиям.

Сопутствующие компоненты


С инструментом QRadar SIEM интегрируется ряд модулей, повышающих его эффективность. Одним из наиболее важных является QRadar Risk Manager, который сопоставляет информацию об уязвимостях с данными о топологии сети и соединениях. Решение выявляет уязвимости в сети компании и работающих в ней приложениях, оценив риски и минимизировав их. Risk Manager отслеживает конфигурацию коммутаторов, маршрутизаторов, сетевых экранов и систем предотвращения вторжений (IPS), распознавая условия, представляющие угрозу безопасности. Кроме того, он позволяет моделировать сетевые атаки и другие сценарии вторжений, внося в конфигурацию сети изменения, которые дают возможность оценить масштаб угрозы.

Еще один интересный инструмент – модуль QRadar Log Manager. Он собирает и обрабатывает данные о событиях в режиме реального времени, поступающие от маршрутизаторов, коммутаторов, брандмауэров, сетей VPN, систем обнаружения и предотвращения вторжений (IDS/IPS), антивирусных программ и других источников. Log Manager дает возможность упростить ведение необходимой отчетности и контроль за соблюдением нормативно-правовых требований. 

В качестве послесловия


IBM QRadar SIEM является одной из наиболее эффективных аналитических систем безопасности. Немаловажным является тот факт, что решение поддерживает работу с более чем 200 продуктов от ведущих производителей и проводит сбор, анализ и корреляцию данных через широкий спектр систем, включая сетевые решения, средства безопасности, серверы, хосты, операционные системы и приложения. Кроме того, дополнительным преимуществом решения является невысокая стоимость системы начального уровня.

Вернуться назад


ВКонтакт Facebook Одноклассники Twitter Яндекс Livejournal Liveinternet Mail.Ru