Siem Analytics

 
 Поиск

 

Уменьшить шрифт Увеличить шрифт ОБЗОРЫ

      IBM QRADAR

SIEM-система IBM Qradar

Решение по управлению событиями и информацией, связанной с безопасностью, (SIEM) IBM Security QRadar может использоваться как базовое решение в центрах обеспечения безопасности малых и крупных компаний для сбора, стандартизации и корреляции доступных сетевых данных с применением полученного за многие годы отраслевого опыта. В результате этих действий организации получают в свое распоряжение оперативную информацию о безопасности.

SIEM IBM Qradar версии 7 и всех подверсий в рамках этой версии на данный момент имеет сертификат ФСТЭК России от 02 марта 2015 года (На серийное производство). Текущая версия системы 7.2.7.

В ТУ сказано, что «комплекс предназначен для контроля защищенности информации, не содержащей сведения, составляющие государственную тайну, в государственных информационных системах 3 и 4 классов защищенности, а также обеспечения 3, 4 уровня защищенности персональных данных в информационных системах».

| | | | |

Июль 2016 года.
В разделе «Сравнительный анализ SIEM систем» проекта SIEM Analytics была актуализированная и дополнена сравнительная таблица SIEM систем.

Январь 2016 года.
Учебный центр КУДИЦ, лидер авторизованного обучения технологиям и продуктам IBM в России и странах СНГ, разработал единственный на рынке русскоязычный курс, посвященный IBM Security QRadar SIEM.

Декабрь 2015 года.
Корпорация IBM открыла доступ к аналитической платформе безопасности IBM Security QRadar, призванной помочь разработчикам создавать пользовательские приложения, используя расширенные возможности платформы и ее архив данных о безопасности. Компания также запустила IBM Security Exchange - онлайн-площадку для сообщества специалистов по безопасности, где они могут разрабатывать и делиться приложениями на базе технологий IBM.

разместить новость все новости о Qradar


все обсуждения



На данный момент активные акции по Qradar отсутствуют.

разместить акцию

Применение SIEM IBM Qradar в Российской Федерации

Применение SIEM IBM Qradar в государственных и муниципальных нуждах недопустимо т.к. не отвечает требованиям Российского законодательства (Федерального закона от 29 июня 2015 года № 188 О внесении изменении в Федеральный закон "Об информации, информационных технологиях и о защите информации" и статью 14 Федерального закона "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд"), т.к SIEM IBM Qradar не является Российской программой для электронных вычислительных машин баз данных и не числится в реестре Российского программного обеспечения.

Особенности:

SIEM QRadar интегрирует в единое унифицированное решение управление информацией и событиями системы безопасности (SIEM), управление логами, выявление аномалий и управление конфигурациями и устранением уязвимостей.
Использует преимущества единой архитектуры для анализа системных журналов, потоков данных, уязвимостей, данных пользователей и информационных ресурсов.
Выявляет признаки наиболее критичных инцидентов ИБ среди миллиардов обычных журнальных записей.


Обеспечивает всестороннее наглядное представление графиков сетевой активности, работы приложений и действий пользователей.
Автоматизирует процессы, направленные на соблюдение нормативных требований по ИБ: сбор сведений, их корреляция и создание отчетов.
Использует корреляцию в режиме реального времени и обнаружение аномалий для выявления наиболее изощренных угроз.

Стоимость

Стоимость приобретения SIEM IBM Qradar складывается из многих факторов комплекта поставки и конфигурации самой системы. В частности, стоимость SIEM системы зависит от количества:

Источников логов (Events).
Количества рабочих мест и серверов (Flows).
От пропускной способности сети в Mbps (QFlow Bandwidth - QFlow - это опция, но может использоваться для сайзинга QFlow Collector для интернет-трафика. Например, для интернет-соединения в 100 Mbps требуется QFlow Collector 200 Mbps).
Объемов хранения.
Событий в секунду (EPS).
Сетевых потоков в минуту (FPM).

Например, на практике у Вас подключено порядка 30 источников (15 серверов Windows, ферма VMWare, антивирус, MS SQL и кластер Check Point) это в среднем порядка 400 EPS.


Для примера стоимость ПАК IBM QRadar SIEM All-In-One Hardware Appliance 2100 Light с производительностью 500 EPS и 25 000 FPM составляет примерно 3 млн. 800 тыс. руб. или 63 000 $.

Ежегодное продление поддержки обойдется Вам примерно в 25% от начальной стоимости закупки.

Обеспечение представления данных об обнаружении угроз и их приоритете в реальном времени

Центральным компонентом данного продукта является база данных с высокой степенью масштабируемости, предназначенная для сбора в реальном времени событий журналов и данных о сетевых потоках, что позволяет выявить следы деятельности потенциальных злоумышленников. QRadar SIEM – это корпоративное решение, которое консолидирует данные о событиях в источниках журналов, получаемые от тысяч устройств, распределенных по всей сети, сохраняет все действия в необработанном виде и затем незамедлительно выполняет корреляцию, чтобы отличить реальные угрозы от ложных срабатываний. Оно также в реальном времени захватывает данные о сетевых потоках OSI-уровня 4 и уникально захватывает рабочие нагрузки приложений OSI-уровня 7, используя технологию углубленной проверки пакетов. QRadar SIEM собирает информацию, включающую:

События безопасности: события, получаемые от брандмауэров (межсетевых экранов), виртуальных частных сетей (VPN), систем обнаружения взлома, систем противодействия взлому и т.д.
Сетевые события: события, получаемые от коммутаторов, маршрутизаторов, серверов, хостов и т.д.
Контекст сетевых действий: Контекст приложений OSI-уровня 7 из трафика сетевых данных и данных приложений.

Контекст пользователя или актива: Контекстуальные данные, получаемые от продуктов по управлению доступом и учетными записями пользователей и от сканеров уязвимостей.

Сведения об операционных системах: Наименование изготовителя и номер версии сетевых активов.
Журналы приложений: системы планирования корпоративных ресурсов (ERP), рабочие потоки, прикладные базы данных, управленческие платформы и т.д.

Прозрачность приложений и обнаружение аномалий

В централизованной базе данных решения QRadar SIEM сохраняются как события источников журналов, так и данные о сетевом трафике, что позволяет коррелировать отдельные события с двусторонним сетевым трафиком по одному и тому же IP-адресу. Решение также может группировать сетевой трафик и операции записи, происходящие в течение малого периода времени в виде одной записи в базе данных, что позволяет сократить требования к доступному дисковому пространству и к количеству необходимых лицензий.

Благодаря возможности отслеживания трафика данных приложений на OSI-уровне 7 решение QRadar SIEM способно предоставлять точный анализ и сведения о корпоративной сети для целей мониторинга политик, угроз и сетевой активности в целом. При добавлении механизмов IBM Security QRadar QFlow или VFlow Collector решение QRadar SIEM может отслеживать использование в сети таких приложений как ERP, базы данных, Skype, приложения для передачи голосовых сообщений в IP-сети (VoIP) и социальных сетях. Сюда относится сбор сведений о том, какие пользователи используют определенные приложения, выполнение анализа и генерация аварийных сигналов при передаче контента и корреляция с другими действиями в сети и журналах, что позволяет выявить незаконную передачу данных и случаи чрезмерного использования ресурсов. Несмотря на то, что решение QRadar SIEM поставляется с многочисленными правилами для обнаружения аномалий и нетипичного поведения, специалисты по безопасности могут разрабатывать свои собственные правила благодаря функции фильтрации, позволяющей применить обнаружение аномалий к данным за определенные интервалы времени.

Обеспечение защиты от угроз в виртуальных средах

Поскольку виртуальные серверы также уязвимы для угроз безопасности, как и физические, комплексные решения для обеспечения безопасности должны также содержать соответствующие механизмы для защиты приложений и данных, размещенных в виртуальных дата-центрах. При использовании механизмов QRadar VFlow Collector ИТ-специалисты получают возможность подробно просмотреть огромное количество действий, создаваемых бизнес-приложениями в виртуальных сетях, и могут лучше идентифицировать такие приложения для целей мониторинга безопасности, анализа поведения на уровне приложений и обнаружения аномалий. Операторы также могут захватывать контент приложений для более подробного анализа и экспертизы аспектов информационной безопасности.

Создание подробных отчетов о доступе к данным и действияъ пользователей для выполнения требований законодательства

QRadar SIEM обеспечивает прозрачность, отчетность и возможность расчета показателей, которые критически необходимы компании для соблюдения законодательных и нормативных требований и формирования соответствующей отчетности. Возможность решения коррелировать и интегрировать сведения о безопасности позволяют создать более комплексные метрики при создании отчетов об ИТ-рисках для аудиторов. Кроме того, в решении содержится несколько сотен шаблонов отчетов и правил для выполнения отраслевых нормативных требований.Организации могут эффективно выполнять законодательные и нормативные требования в области ИТ-безопасности, расширив возможности решения QRadar SIEM за счет новых определений, нормативных требований и передовых методов с использованием автоматических обновлений. Кроме того, профили всех сетевых активов можно сгруппировать по бизнес-функции, например, можно сгруппировать серверы, по которым необходимо выполнять аудиты соблюдения требований Закона об унификации и учете в области медицинского страхования (HIPAA).Заранее подготовленные информационные панели, шаблоны отчетов и правил предназначены для выполнения следующих нормативных и законодательных требований: CobiT, SOX, GLBA, NERC/FERC, FISMA, PCI DSS, HIPAA, UK GSi/GCSx, GPG и т. д.

Скриншоты



© SIEM Analytics 2012-2016 г.
Все права защищены. 

copyright.

Рейтинг@Mail.ru Яндекс.Метрика

Наверх