ibm security qradar siemИТ-инфраструктуру, обеспечиваемый...
TRANSCRIPT
IBM Software Лист данных
IBM Security QRadar SIEMУлучшает защиту от угроз информационной безопасности и соблюдение требований законодательства благодаря наличию интегрированной системы для создания отчетов, использующихся при расследовании инцидентов
Особенности●● ● ●Интеграция управления журналами
регистрации и технологий защиты от сетевых угроз в рамках общей базы данных и совместно используемого пользовательского графического интерфейса с использованием информационных панелей
●● ● ●Преобразование простого списка сведений о тысячах зарегистрированных системных событий безопасности в удобный для управления список предполагаемых нарушений
●● ● ●Обнаружение и отслеживание вредоносной деятельности в течение длительных периодов времени для обнаружения наиболее сложных угроз, которые иногда упускаются другими решениями в области безопасности
●● ● ●Обнаружение инсайдерского мошенничества с помощью расширенных функциональных возможностей
●● ● ●Обеспечение соблюдения требований законодательства и нормативных требований по ИБ.
Современные сети стали больше размером и сложнее, чем когда-либо раньше, и их защита от вредоносных действий – это постоянно решаемая задача. Организации должны защищать свою интеллектуальную собственность, конфиденциальные данные своих клиентов и не допускать сбоев в работе бизнеса. Для этой цели им необходимо прилагать больше усилий по мониторингу журналов и данных о сетевых потоках, а также использовать современные инструменты для обнаружения подозрительных действий и выполнения операций по их устранению. Решение по управлению событиями и информацией, связанной с безопасностью, (SIEM) IBM® Security QRadar может использоваться как базовое решение в центрах обеспечения безопасности малых и крупных компаний для сбора, стандартизации и корреляции доступных сетевых данных с применением полученного за многие годы отраслевого опыта. В результате этих действий организации получают в свое распоряжение оперативную информацию о безопасности.
Центральным компонентом данного продукта является база данных с высокой степенью масштабируемости, предназначенная для сбора в реальном времени событий журналов и данных о сетевых потоках, что позволяет выявить следы деятельности потенциальных злоумышленников. QRadar SIEM – это корпоративное решение, которое консолидирует данные о событиях в источниках журналов, получаемые от тысяч устройств, распределенных по всей сети, сохраняет все действия в необработанном виде и затем незамедлительно выполняет корреляцию, чтобы отличить реальные угрозы от ложных срабатываний. Оно также в реальном времени захватывает данные о сетевых потоках OSI-уровня 4 и уникально захватывает рабочие нагрузки приложений OSI-уровня 7, используя технологию углубленной проверки пакетов.
Интуитивно понятный пользовательский интерфейс, используемый всеми компонентами семейства QRadar, помогает ИТ-специалистам быстро идентифицировать сетевые атаки и отреагировать на них в зависимости от степени их критичности, благодаря чему сотни сигналов тревоги и шаблонных сигналов о выявлении аномальных действий можно существенно сократить до удобного для управления небольшого количества сообщений о предполагаемом нарушении безопасности, требующего дальнейшего расследования.
2
Лист данныхIBM Software
Обеспечение представления данных об обнаружении угроз и их приоритете в реальном времениКонтекстуальный и практичный обзорный взгляд на всю ИТ-инфраструктуру, обеспечиваемый решением QRadar SIEM, помогает обнаружить и устранить угрозы, которые часто пропускают другие решения для обеспечения безопасности. Такие угрозы могут включать нецелевое использование приложений, действия, связанные с инсайдерским мошенничеством, современные медленно и незаметно реализуемые угрозы, которые легко упустить извиду на фоне «шума», создаваемого миллионами событий.
QRadar SIEM собирает информацию, включающую:
●● ● События безопасности: события, получаемые от брандмауэров (межсетевых экранов), виртуальных частных сетей (VPN), систем обнаружения взлома, систем противодействия взлому и т.д.
●● ● Сетевые события: события, получаемые от коммутаторов, маршрутизаторов, серверов, хостов и т. д.
●● ● Контекст сетевых действий: Контекст приложений OSI-уровня 7 из трафика сетевых данных и данных приложений
●● ● Контекст пользователя или актива: Контекстуальные данные, получаемые от продуктов по управлению доступом и учетными записями пользователей и от сканеров уязвимостей
●● ● Сведения об операционных системах: Наименование изготовителя и номер версии сетевых активов
●● ● Журналы приложений: системы планирования корпоративных ресурсов (ERP), рабочие потоки, прикладные базы данных, управленческие платформы и т. д.
Сокращение и установление приоритетов аварийных сигналов для проведения расследований только реальных угрозМногие организации создают миллионы, а иногда и миллиарды событий в день; сортировка данных событий для формирования краткого списка высокоприоритетных нарушений может оказаться непростой задачей. Решение QRadar SIEM автоматически обнаруживает большинство систем-источников сетевых журналов и исследует данные о сетевых потоках для обнаружения и классификации допустимых хостов и серверов (активов) в сети, отслеживая используемые ими приложения, протоколы, службы и порты. Решение QRadar SIEM собирает, сохраняет и анализирует эти данные и в реальном времени выполняет корреляцию событий для формирования отчетности и проведения аудита обнаружения угроз и соблюдения требований законодательства. Миллиарды событий и потоков таким образом можно сократить до нескольких сигналов о выявлении реальных угроз и приоритизировать их в зависимости от их влияния на бизнес.
В результате этого профессионалы в области обеспечения безопасности в течение нескольких дней, а не недель увидят выгоду от установки QRadar SIEM, а развертывание решения происходит без привлечения многочисленных и дорогостоящих консультантов. Наличие функций автоматического обнаружения и заранее подготовленных шаблонов и фильтров означает, что не нужно затрачивать несколько месяцев на обучение системы специфике вашей среды (в отличие от стандартных операционных ИТ-инструментов). Архитектура решения предусматривает задействование многочисленных моделей обработчиков событий, коллекторов событий, обработчиков потоков и центральной консоли, при этом все эти механизмы могут реализовываться как аппаратные, как исключительно программные, или как виртуальные программные средства. Менее масштабные установки могут предполагать использование одного «все в одном» решения, которое можно легко расширить за счет развертываний консолей и добавления необходимых обработчиков событий и потоков.
3
Лист данныхIBM Software
Ответы на ключевые вопросы для более эффективного управления борьбой с угрозами ИБЧтобы полностью понять характер потенциальных угроз ИБ, специалисты по обеспечению безопасности должны знать ответы на следующие ключевые вопросы: Кто атакует? Что атакуется? Каково влияние на бизнес? Где необходимо проводить расследование? Решение QRadar SIEM отслеживает значимые инциденты и угрозы и собирает статистику, необходимую для проведения расследований. При этом специалистам по обеспечению информации предоставляются такие подробные и полезные для расследования сведения, как цели атаки, точное время, ценность актива, состояние уязвимости, данные о пользователях, нарушающих безопасность, профили атакующей стороны, список активных угроз и статистические данные о нарушениях в прошлом.
Возможность поиска статистики по событиям и потокам данных в реальном времени и по конкретному расположению для последующего анализа и экспертизы может существенно увеличить возможности организации по оценке действий и устранению инцидентов. Благодаря легким в использовании информационным панелям, представлениям по интервалам времени, поиску и детализации, просмотру содержимого на уровне пакетов
и сотням предопределенных параметров поиска пользователи могут быстро агрегировать данные для получения сводок и идентификации аномалий, а также для определения наиболее активных источников действий. Пользователи также могут выполнять консолидированный поиск по большим географически распределенным вычислительным средам.
Прозрачность приложений и обнаружение аномалийРешение QRadar SIEM поддерживает широкий спектр функциональных возможностей для обнаружения аномалий и выявления изменений поведения, влияющих на приложения, хосты, серверы и участки сети. Например, решение QRadar SIEM может обнаруживать использование приложения или облачного сервиса в нерабочее время или необычно интенсивное использование таких активов, а также шаблоны сетевых действий, которые не соответствуют статистическим, рассчитанным по скользящим средним показателям профилям или сезонным особенностям использования. Решение QRadar SIEM способно обучаться таким суточным и недельным профилям использования, что помогает ИТ-персоналу быстро идентифицировать значимые отклонения.
Решение QRadar SIEM собирает данные из широкого спектра источников данных и сводит их в управляемый список сведений о нарушениях требований ИБ, используя предопределенные и заданные пользователем правила.
Устройства для обеспечения безопасности
Серверы и мейнфреймы
Действия в сети и в виртуальных вычислительных средах
Действия, связанные с данными
Действия приложений
Конфигурационная информация
Уязвимости и угрозы
Пользователи и учетные записи
Расширенные источники данных Глубокий интеллектуальный анализИсключительно
точные и практически полезные сведения
Подлинные нарушения
Подозрительные нештатные ситуации
Корреляция
Стандартизация действий и обнаружение аномалий
• Журналы/события• Потоки• Репутация IP-адреса• Географическое расположение
• Действия пользователей• Действия базы данных• Действия приложений• Сетевые действия
Идентификация нарушений• Уровень доверия• Уровень критичности• Актуальность
4
Лист данныхIBM Software
В централизованной базе данных решения QRadar SIEM сохраняются как события источников журналов, так и данные о сетевом трафике, что позволяет коррелировать отдельные события с двусторонним сетевым трафиком по одному и тому же IP-адресу. Решение также может группировать сетевой трафик и операции записи, происходящие в течение малого периода времени в виде одной записи в базе данных, что позволяет сократить требования к доступному дисковому пространству и к количеству необходимых лицензий.
Благодаря возможности отслеживания трафика данных приложений на OSI-уровне 7 решение QRadar SIEM способно предоставлять точный анализ и сведения о корпоративной сети для целей мониторинга политик, угроз и сетевой активности в целом. При добавлении механизмов IBM Security QRadar QFlow или VFlow Collector решение QRadar SIEM может отслеживать использование в сети таких приложений как ERP, базы данных, Skype, приложения для передачи голосовых сообщений в IP-сети (VoIP) и социальных сетях. Сюда относится сбор сведений о том, какие пользователи используют определенные приложения, выполнение анализа и генерация аварийных сигналов при передаче контента и корреляция с другими действиями в сети и журналах, что позволяет выявить незаконную передачу данных и случаи чрезмерного использования ресурсов. Несмотря на то, что решение QRadar SIEM поставляется с многочисленными правилами для обнаружения аномалий и нетипичного поведения, специалисты по безопасности могут разрабатывать свои собственные правила благодаря функции фильтрации, позволяющей применить обнаружение аномалий к данным за определенные интервалы времени.
Использование решения в области информационной безопасности с одной интуитивно понятной консольюРешение QRadar SIEM является надежным фундаментом для центра по обеспечению информационной безопасности компании и предоставляет централизованный пользовательский интерфейс, оснащенный функциями контроля доступа в зависимости от роли и функции и предоставляющий возможность глобального просмотра данных для выполнения анализа в реальном времени, управления инцидентами и создания отчетности. По умолчанию доступно пять информационных панелей, в том числе панели безопасности, сетевой активности, активности приложений, мониторинга систем и соблюдения требований законодательства; пользователи при этом могут создавать и настраивать собственные рабочие места.
С помощью таких информационных панелей пользователи могут легко заметить пиковый рост количества аварийных сигналов, который может означать начало атаки. По щелчку на графике можно запустить функциональность детализации, с помощью которой специалисты по безопасности могут быстро исследовать выделенные события или сетевые потоки, связанные с возможным нарушением безопасности. Более того, для ускоренной генерации отчетов имеются сотни шаблонов, связанных с конкретными ролями, устройствами, законодательными и нормативными требованиями, а также шаблоны, специально предназначенные для использования в отраслях с высокой степенью государственного регулирования.
Обеспечение защиты от угроз в виртуальных средахПоскольку виртуальные серверы также уязвимы для угроз безопасности, как и физические, комплексные решения для обеспечения безопасности должны также содержать соответствующие механизмы для защиты приложений и данных, размещенных в виртуальных дата-центрах. При использовании механизмов QRadar VFlow Collector ИТ-специалисты получают возможность подробно просмотреть огромное количество действий, создаваемых бизнес-приложениями в виртуальных сетях, и могут лучше идентифицировать такие приложения для целей мониторинга безопасности, анализа поведения на уровне приложений и обнаружения аномалий. Операторы также
Решение QRadar SIEM представляет огромное количество статистических данных по каждому предполагаемому нарушению информационной безопасности, а также возможность точно подстраивать существующие правила или добавлять новые, чтобы сократить число ложных срабатываний.
Что представляла из себя атака?
Кто несет ответственность?
Когда все это случилось?
Какова ценность атакованных компонентов?
Была ли атака успешной?
Где их можно просмотреть?
Сколько целевых компонентов подверглось
атаке?
5
Лист данныхIBM Software
могут захватывать контент приложений для более подробного анализа и экспертизы аспектов безопасности и политики.
Создание подробных отчетов о доступе к данным и действиях пользователей для выполнения требований законодательстваQRadar SIEM обеспечивает прозрачность, отчетность и возможность расчета показателей, которые критически необходимы компании для соблюдения законодательных и нормативных требований и формирования соответствующей отчетности. Возможность решения коррелировать и интегрировать сведения о безопасности позволяют создать более комплексные метрики при создании отчетов об ИТ-рисках для аудиторов. Кроме того, в решении содержится несколько сотен шаблонов отчетов и правил для выполнения отраслевых нормативных требований.
Организации могут эффективно выполнять законодательные и нормативные требования в области ИТ-безопасности, расширив возможности решения QRadar SIEM за счет новых определений, нормативных требований и передовых методов с использованием автоматических обновлений. Кроме того, профили всех сетевых активов можно сгруппировать по бизнес-функции, например, можно сгруппировать серверы, по которым необходимо выполнять аудиты соблюдения требований Закона об унификации и учете в области медицинского страхования (HIPAA).
Заранее подготовленные информационные панели, шаблоны отчетов и правил предназначены для выполнения следующих нормативных и законодательных требований: CobiT, SOX, GLBA, NERC/FERC, FISMA, PCI DSS, HIPAA, UK GSi/GCSx, GPG и т. д.
Добавление функций высокой доступности и восстановления после сбоевДля обеспечения высокой доступности и возможностей восстановления после сбоев идентичные резервные системы могут работать в паре со всеми компонентами семейства QRadar. Начиная от обработчиков событий и потоков и заканчивая консольными механизмами SIEM «все в одном», пользователи могут добавлять средства резервирования и защиты, где и когда это необходимо для обеспечения непрерывной работы.
Для организаций, которым необходимо обеспечить устойчивость бизнеса, высокодоступные решения QRadar предоставляют интегрированные функции
автоматического переключения в случае сбоя и синхронизации всех дисков между системами. Данные решения легко развертываются благодаря архитектурно оптимизированным механизмам «подключи и работай», и при этом нет необходимости в использовании дополнительных сторонних продуктов для управления последствиями отказов и сбоев.
Для организаций, которым необходимы функции защиты данных и их восстановления, решения QRadar для восстановления после сбоев предоставляют возможность пересылки обновляемых данных (например, потоков и событий) с основной системы QRadar в параллельно работающую резервную систему, расположенную на другом объекте.
Профилирование уязвимостейРешение IBM Security QRadar Risk Manager дополняет функциональность QRadar SIEM и позволяет идентифицировать наиболее уязвимые сетевые активы. Оно немедленно генерирует аварийные сигналы в случае выполнения этими активами потенциально рискованных действий. Например, организация может просканировать свои сети для выявления уязвимых приложений, устройств и систем, определить, какие из них подключены к сети Интернет и составить рейтинг приоритетов для исправления ситуации на основании профиля риска каждого приложения, устройства или системы. Для получения дальнейшей информации см. технические данные решения QRadar Risk Manager.
Получение комплексной поддержки устройств для захвата сетевых потоков и событийБлагодаря поддержке свыше 450 использующихся в корпоративных сетях продуктов практически всех ведущих производителей решение QRadar SIEM обеспечивает сбор, анализ и корреляцию данных по широкому спектру систем, в том числе по сетевым решениям, решениям для безопасности, серверам, хостам, операционным системам и приложениям. Кроме того, функциональность QRadar SIEM можно расширить для поддержки проприетарных приложений и новых систем от IBM и многих других поставщиков.
Почему IBM?IBM управляет одной из крупнейших в мире организаций по исследованию, разработке и поставке решений для обеспечения безопасности. Решения IBM позволяют организациям уменьшить количество уязвимостей в системе безопасности и сконцентрироваться на реализации своих стратегических инициатив.
Дополнительные сведенияЧтобы узнать больше о том, как продукт IBM Security QRadar SIEM может помочь вашей организации решить вопросы, связанные с управлением борьбой с угрозами и соблюдением нормативных требований, обратитесь к своему представителю IBM, бизнес-партнеру IBM или посетите следующий веб-сайт: ibm.com/security.
О решениях для обеспечения безопасности IBM SecurityIBM Security предоставляет один из наиболее расширенных и интегрированных наборов продуктов и услуг в области обеспечения корпоративной безопасности. Входящие в данный портфель продукты, разрабатываемые всемирно известным научно-исследовательским центром IBM X-Force, предоставляют сведения по безопасности, которые помогают организациям целостно защищать своих сотрудников, инфраструктуры, данные и приложения, и содержат функциональные возможности для управления учетными записями и доступом, обеспечения безопасности баз данных, разработки приложений, управления конечными устройствами, безопасностью сетей и многое другое. Данные решения позволяют организациям эффективно управлять рисками и внедрять интегрированные системы безопасности для мобильных и облачных вычислительных сред, социальных медиа и других архитектур, используемых коммерческими предприятиями. IBM управляет одной из крупнейших в мире организаций по исследованию, разработке и поставке решений для обеспечения безопасности; корпорация отслеживает 13 миллиардов событий безопасности в день в более чем 130 странах и владеет более чем 3000 патентов в области обеспечения безопасности.
Кроме того, подразделение IBM Global Financing (IGF) помогает компаниям приобретать необходимые программные решения наиболее эффективно с экономической и стратегической точки зрения. Мы поддерживаем партнерские отношения с одобренными для кредитования заказчиками и совместно адаптируем финансовое решение в соответствии с бизнес-задачами клиентов. Это обеспечивает эффективное управление наличными средствами и уменьшает совокупную стоимость владения. Воспользуйтесь решениями IGF для финансирования важных инвестиций в ИТ, стимулирующих развитие вашей организации. Для получения дополнительной информации посетите веб-сайт: ibm.com/financing/ru/
IBM Восточная Европа/Азия 123317, Москва Краснопресненская наб., 18 Тел.: +7 (495) 775-8800, +7 (495) 940-2000 Факс: +7 (495) 940-2070
Домашняя страница IBM находится по адресу ibm.com/ru
IBM, логотип IBM, ibm.com и X-Force являются товарными знаками или зарегистрированными товарными знаками корпорации International Business Machines в США и (или) других странах. Если эти и другие элементы IBM, указанные как товарные знаки, обозначены при первом употреблении в данном материале символом товарного знака (® или ™), эти символы указывают на зарегистрированные в США или согласно общему законодательству товарные знаки, принадлежащие IBM на момент публикации данного материала. Такие товарные знаки могут также являться зарегистрированными товарными знаками либо товарными знаками, охраняемыми нормами общего права, в других странах.
Текущий список товарных знаков компании IBM приводится на веб-сайте в разделе «Авторские права и товарные знаки» по адресу ibm.com/legal/copytrade.shtml
QRadar является зарегистрированным товарным знаком Q1 Labs, компании, принадлежащей IBM.
Другие названия компаний, продуктов и услуг могут являться товарными знаками или знаками обслуживания других лиц и компаний.
Ссылки на продукты, программы и услуги IBM, используемые в настоящей публикации, не подразумевают, что корпорация IBM намерена сделать их доступными во всех странах, где она ведёт свою деятельность.
Любая ссылка на продукт, программу или услугу IBM не подразумевает, что можно использовать только продукты, программы или услуги корпорации IBM. Возможно использование вместо них какого-либо функционально эквивалентного изделия, программы или услуги.
Данная публикация служит только для общего руководства. Информация может изменяться без уведомления. Чтобы получить последнюю информацию о продуктах и услугах IBM, свяжитесь с местным отделом сбыта или торговым посредником IBM.
Корпорация IBM не предоставляет консультаций в области права, учета и аудита, не заявляет и не гарантирует, что ее услуги и продукты обеспечивают выполнение каких бы то ни было законов. Клиенты несут ответственность за обеспечение соответствия применимым законам и постановлениям о ценных бумагах, включая национальные законы и постановления.
На фотографиях могут быть изображены модельные образцы.
© Корпорация IBM, 2013
WGD03021-RURU-00