QRadar Security Intelligenceプラットフォームの統合アーキテクチャーにより、ユーザー、リソースに関するデータだけでなく、ログ、ネットワークフロー、パケット、脆弱性を分析できます。 Sense Analyticsを使用すると、相関分析を実施して、最も深刻な脅威、攻撃、および脆弱性をリアルタイムで特定できます。 これにより、IT部門は、膨大なデータストリームから最も重要なインシデントに優先順位を付けて強調表示できます。 このソリューションは、インシデントに自動的に対応し、データ収集の機能による規制要件を満たし、それらの相関とレポートを決定します。 また、不適切なデバイス設定と既知の脆弱性によって引き起こされる既存のリスクの予測分析も提供します。
脅威アナライザー
IBM QRadar Security Intelligence Platformには、いくつかの異なるモジュールが含まれています。 ソリューションの重要なコンポーネントの1つは、イベントを収集および分析するためのシステムであるIBM QRadar SIEMツールです。 ネットワーク上のデバイス、エンドポイント、およびアプリケーションからのイベントログからの情報を統合します。 QRadar SIEMは、相関を正規化して分析し、セキュリティリスクを特定します。また、高度なSense Analyticsエンジンを使用して、正常な動作の検出、異常の検出、高度な脅威の発見、誤検知の除去を行います。 このソフトウェアモジュールを使用すると、1つのインシデントですべての関連イベントを収集できます。 QRadar SIEMには、潜在的に悪意のあるIPアドレス、マルウェアコンピューターのアドレス、スパム送信元、およびその他の脅威のリストを備えたIBM X-Force Threat Intelligence脅威分析ツールを含めることができます。これにより、予防的なセキュリティアプローチを実装できます。 さらに、優先順位を決定するために、製品はシステムからの脅威をネットワークからのイベントとデータと照合できます。
データへのアクセスおよびユーザーアクションに関する詳細なレポートを作成する機能により、より効果的な脅威管理と標準へのコンプライアンスが実現します。 QRadar SIEMは、オンプレミスおよびクラウド環境で使用できることにも言及する価値があります。
さらに、近い将来、IBMはセキュリティの分野でWatson人工知能プラットフォームを使用し、QRadarソフトウェアおよびX-Forceデータベースと統合することを計画しています。 これにより、脅威の性質を判断するための分析レベルが向上し、情報セキュリティの分野におけるITスタッフの不足を補います。
機能性の問題
IBM QRadar SIEMの上記の機能をさらに詳しく検討してください。 リアルタイムの透明性を提供することで、アプリケーションの誤用、内部不正、および毎日の何百万ものイベントで見落とされる可能性のある軽度の脅威を検出できます。 このソリューションでは、セキュリティデバイス、オペレーティングシステム、アプリケーション、データベース、アクセスおよびID管理システムなど、さまざまなソースからログとイベントを収集できます。 ネットワークフローデータは、レイヤー7データ(アプリケーションレイヤー)を含むスイッチとルーターから取得されます。 情報は、アクセス制御および識別システム、動的ホスト構成プロトコル(DHCP)などのインフラストラクチャサービス、およびネットワークとアプリケーションの脆弱性スキャナーから提供されます。
必要なすべてのレポートとグラフをIBM QRadar SIEMダッシュボードに表示できます
QRadar SIEMは、即時イベント正規化と他のデータとの比較を実行して、脅威を検出し、規制レポートを生成します。 このソリューションはイベントに優先順位を付け、ビジネスにとって最も深刻な脅威となる少数の実際の違反を強調します。 検出された異常により、アプリケーション、コンピューター、ユーザー、およびネットワークセグメントに関連する動作の変化を検出できます。 IBM X-Force Threat Intelligenceソフトウェアを使用すると、疑わしいIPアドレスに関連付けられたアクションも決定されます。
このソリューションは、重大なインシデントを追跡し、分析に必要なすべてのデータへのリンクを提供することにより、脅威をより効果的に管理する機会を提供します。 これにより、アプリケーションやクラウドサービスの営業時間外または異常な使用後のアクション、および保存された使用パターンに一致しないネットワークアクティビティを検出できます。 分析を改善するために、QRadar SIEMは、保存されたデータだけでなく、ほぼリアルタイムモードでイベントとデータストリームを検索する機能をサポートしています。 大規模な分散環境で結合検索を実行することが可能です。 アプリケーション、データベース、コラボレーション製品、およびソーシャルネットワークのより深い理解とより良い表示のために、レベル7でのネットワークフローの詳細な分析を可能にするIBM QRadar QFlowおよびIBM QRadar VFlow Collectorデバイスを使用できます。
クラウドSoftLayerにインストールする機能により、QRadar SIEMはクラウドでリアルタイムのセキュリティ情報を受信できます。 さらに、アプリケーションからのイベントとデータストリームの収集は、クラウドとローカルリソースの両方で実行されます。
このソリューションには、IT管理者の特別なデータベースや特別なスキルを必要としない直感的なレポートモジュールがあります。 名前とIPアドレスで情報を追跡する機能を備えたデータアクセスとユーザーアクティビティに関するレポートを生成することにより、セキュリティポリシーへの準拠と規制要件への準拠が保証されます。
関連するコンポーネント
QRadar SIEMツールには多くのモジュールが統合されており、効率が向上しています。 最も重要なものの1つは、脆弱性情報をネットワークトポロジおよび接続のデータと比較するQRadar Risk Managerです。 このソリューションは、企業のネットワークとそこで実行されているアプリケーションの脆弱性を特定し、リスクを評価してそれらを最小化します。 Risk Managerは、スイッチ、ルーター、ファイアウォール、および侵入防止システム(IPS)の構成を監視し、セキュリティリスクを引き起こす条件を認識します。 さらに、ネットワーク攻撃やその他の侵入シナリオをシミュレートし、ネットワーク構成を変更して脅威の規模を評価できるようにします。
もう1つの興味深いツールは、QRadar Log Managerモジュールです。 ルーター、スイッチ、ファイアウォール、VPN、侵入検知および防止システム(IDS / IPS)、ウイルス対策プログラム、およびその他のソースからリアルタイムイベントデータを収集して処理します。 Log Managerは、必要なレポート作成と監視を規制要件への準拠を簡素化する機会を提供します。
あとがきとして
IBM QRadar SIEMは、最も効果的な分析セキュリティシステムの1つです。 このソリューションは、大手メーカーの200を超える製品との連携をサポートし、ネットワークソリューション、セキュリティツール、サーバー、ホスト、オペレーティングシステム、アプリケーションなど、幅広いシステムを通じてデータを収集、分析、および相関させることが重要です。 さらに、このソリューションの追加の利点は、エントリーレベルのシステムの低コストです。