IBM QRadar SIEMは、既知のセキュリティ脅威だけでなく、未知のセキュリティ脅威の可視化を短期間で実現します。
IBM QRadar SIEMは、既知のセキュリティ脅威だけでなく
未知のセキュリティ脅威の可視化を
短期間で実現します。
350種類以上のルールと分析パターン、1000種類以上の検索パターンとレポートを使うことで、導入フェーズに必要な期間を大きく短縮。すぐに、セキュリティ向上に取り組めます。
セキュリティ研究機関の知見を活かした豊富なテンプレートでベストプラクティスに基づくSIEMを効率的に導入・運用できます。
約350種のテンプレートでベストプラクティスによる脅威の発見/可視化を実現
| テンプレート | |
|---|---|
| 振る舞い検知 | DB接続が異常に多いホスト、海外からのリモート接続、複数のFWでDenyされるホスト、高いイベント発生率 |
| 認証 | 連続したログイン失敗後のログイン成功、退職者のアカウントでのログイン失敗、スキャン後のログイン成功 |
| Exploit | 検出された攻撃に対して脆弱性があるホスト、攻撃の後にFW許可、攻撃後15分以内の疑わしい挙動イベント |
| D/DoS | 一定時間に大量のパケットを送信しているローカルのホスト、数千以上の外部IPアドレスから社内への通信の発生 |
| ボットネット | 潜在的なボットネットへの接続、機知のボットネットC&Cとの通信 |
| コンプライアンス | 監査サービスへの変更、信頼度の低いネットワークから高いネットワークへの通信 |
| データベース | 複数の場所からの同時ログイン、リモート・ホストからのグループの設定変更 |
| マルウェア | リモートへのマルウェア通信の検出、不正なDNSサーバーとの通信 |
| ポリシー | P2Pの利用、脆弱性が残っているホストの通信、平文通信プロトコルの利用 |
| 調査 | リモートからのTCPスキャン、ローカル・ネットワーク内でのDNSスキャン |
| 疑わしい挙動 | コンシューマー機器検出、短時間の特定ポートによる複数ホストへの通信 |
| VMware | Vmware環境における異常性の高いゲストOSの挙動、イベントの監視(ゲストOSの作成、削除、クローン、 スナップショット監視) |
| ワーム | 一定時間内のSMTP通信、一定時間内に多数のホストとの通信 |
| X-Force® | X-Force®の脅威情報(IPレピュテーション)に適合するIP通信の検知(ボットネット、Anonymous Proxyなど) |
IBMのセキュリティ研究開発機関であるIBM X-Forceは、世界中のネットワークを監視して常に最新の脅威情報を研究しています。攻撃手法や危険なIPアドレスなどに関する最新情報は、IBM Security QRadarのテンプレートルールにも反映され、常に最新の脅威への備えとして活用できます。
グレーゾーンのリスクも広範囲でアラートすることができ 「想定外の脅威」や「予兆」の検知にも威力を発揮します。
インシデントとして定義されていないリスクへの「気づき」を与える広範囲なアラートを提供
関連する情報を集約して通知するためアラートの洪水を防ぎ、的確な対処を可能に
ポリシー設計及び単一検知
ログ検知ポリシー策定&フィルタリングによるアラート検知量の適正化
▼
ただし、捨てているログあり
QRadar利用
これまでは有効利用できなかった
ログによる脅威検出が可能
各ログのリスクレベル:
高
中
低
エントリーモデルからの充実したラインナップによりスモールスタート&スケールアウトによる投資最適化が可能です。
グループ企業など複数の組織を統合監視したい場合にも、IBM Security QRadarは力を発揮します。それぞれの組織に分散設置することでログ保管に必要なストレージも分散可能。これにより最大数百テラバイトにまでログ保存領域を拡張できます。しかも、これらを統合的に管理する上で、実際のログデータがどこにあるか意識する必要はありません。
フローからフォレンジックまで、QRadarの別機能を追加が可能です。
Copyright © SCSK Security Corporation
