VIR Vezetői Információs Rendszerek Szolgáltató Zrt.

IBM Megoldások - IIS alkalmazás naplók QRadar rendszerbe

IBM Infosphere alkalmazás naplózás QRadar rendszerbe

IBM logo

Az IBM QRadar teljes képességű loggyűjtő és logelemző rendszer, funkcionalitásának teljes spektrumát más megoldással csak több, különböző gyártójú, felületű és képességű rendszerek munkaigényes integrációjával lehetne lefedni:

IBM QRadar

IBM Qradar termékek: IBM QRadar Log Manager és IBM QRadar SIEM

Az IBM® QRadar® Log Manager összegyűjti, elemzi, tárolja és jelentéseket készít a hálózati biztonsági naplóeseményekről, hogy segítsen a szervezeteknek megvédeni magukat a fenyegetésekkel, támadásokkal és biztonsági rések ellen a QRadar Sense Analytics™ motor segítségével. A Sense Analytics a nyers eseményeket eszközökről, szerverekről, operációs rendszerekről, alkalmazásokról, végpontokról és sok másról konvertálja használható, kereshető intelligencia adatokká. A QRadar Log Manager segít a szervezeteknek megfelelni a megfelelőség-felügyeleti és jelentési követelményeknek, és zökkenőmentesen frissíthető IBM Security QRadar SIEM-re a magasabb szintű fenyegetésvédelem érdekében.

Az IBM Security QRadar SIEM még jobban a nagyvállalati igényekhez és terheléshez szabott termék, amely a biztonsági intelligencia képességeinek teljes skáláját tartalmazza a helyszíni telepítésekhez. Konszolidálja a naplóforrás- és hálózati áramlási adatokat a hálózaton elosztott eszközök, végpontok és alkalmazások ezreiből, és azonnali normalizálási és korrelációs tevékenységeket hajt végre a nyers adatokon, hogy megkülönböztesse a valódi fenyegetéseket a hamis pozitívoktól.

A Gartner versenyhelyzetet ábrázoló diagramján is piacvezető az IBM megoldása:

Gartner diagramm

IBM mondta: "Úgy véljük, hogy a QRadar rugalmas telepítési módszerei, az események egyszerű kezelése, a nyitott API-k a szorosabb integrációkhoz, a mesterséges intelligencia támogatása a vizsgálatokhoz, a MITRE ATT&CK keretrendszerhez való beépített illesztés, valamint a szoros SIEM + SOAR integráció az IBM Security Resilient-el vezetett az idei beszámolóban megszerzett helyünkhöz.”

Az IBM Qradar legfőbb erősségei:

  • Automatizált: Egyszerű és gyors bevezetés, valamint üzemeltetés
    • Automatikus konfigurálása az adatforrásoknak
    • Gyárilag beállított szabályok és jelentések (később testre szabhatók)
    • Sebezhetőségek és támadások automatikus frissítése
  • Integrált: Az egyetlen megoldás a piacon, amely egy platformon valósít meg 6 fő funkciót (flow, packets, vulnerabilites, configurations, logs, events)
  • Intelligens: Valós idejű analízis akár egy másodperc alatt beömlő sok millió adat teljes tartalmára

IBM QRadar erősségek

A cégeknek manapság egyre több és több szabálynak és törvénynek kell megfelelniük, mint például Sarbanes-Oxley, Good Practice Guide 13 (GPG-13), Financial Services Authority (FSA), Garante, HIPAA, FISMA, GLBA, PCI, és NERC, valamint Magyarországon a 2013. évi L. törvény és a 41/2015. (VII. 15.) BM rendelet.

Az összegyűjtött hatalmas mennyiségű adat és esemény fogja az alapját képezni az egyes auditoknak. A QRadar segít abban, hogy pontosabb adat álljon rendelkezésre az operátorok számára, egy esetleges nyomozás esetén széleskörűen begyűjtött adatokkal lehessen dolgozni, valamint teljes riportolási képességet biztosít az auditorok számára.

Adatintegrációs platform - IBM InfoSphere Information Server

Egy jól skálázható adatintegrációs platform, mely lehetővé teszi, hogy megértsük, tisztítsuk, átalakítsuk és felügyeljük az üzleti folyamat működéséhez szükséges adatokat. Széles eszközkészlete és masszívan párhuzamos feldolgozási technológiája révén komplex transzformációk végezhetők akár nagy adatmennyiségeken, közel valós időben. Továbbá minden szolgáltatásra kiterjesztett meta-adat menedzsment és széleskörű integrációs lehetőségei biztosítják a platform piacvezető képességeit.

Az InfoSphere Information Server egy egységes, teljes körű integrációs platformot biztosít, amely széleskörű eszközkészlete révén megfelel az egyedi információs – adatminőségi, adatkövetési és integrációs – igényeknek, így garantáltan megbízható információval támogatja az üzleti folyamatot. Segítségével a modern adattárházak, törzsadat kezelő rendszerek vagy a BigData alapú elemzőrendszerek teljeskörű integrációja megvalósítható. A platform teljesen független az adatbázis rétegtől, önálló szerverben valósul meg, ugyanakkor megvan az a rugalmassága is, hogy az adat-intenzív műveleteket képes az adatkezelő rendszernek átadni. A platform további kiemelkedő képessége, hogy közös meta-adattárra épülő, szorosan integrált komponensei révén nem csak egy-egy elkülönített feladatot ellátó informatikai szakrendszeri igényeket, hanem valódi adatgazdai (governance) szerepet is képes betölteni. Az ide importált adatokat minden egyes komponens látja, felhasználhatja. Ezen tulajdonság kihasználása érdekében előre rögzített, üzleti szempontokat központba helyező specifikáció alapú tervezést szükséges alkalmazni.

Adatgazdai szerep

Az üzleti oldal megfelelő minőségű, megbízható adatokkal történő ellátása érdekében szoros együttműködés szükséges az informatikai és kereskedelmi részleg között. A hatékonyság optimalizálása érdekében az üzleti felhasználókat érdemes kinevezni az adatok gazdájának. Az InfoSphere Information Governance Catalog komponens segítségével mindez megvalósítható, az adatokhoz üzleti fogalmak kerülnek hozzárendelésre, melyek hierarchikus egységekbe rendezhetők. Az eszköz segítségével az üzleti felhasználók pontosan látják, hogy adataik mely üzleti fogalmakhoz tartoznak, hol vannak, milyen adattisztasági, biztonsági szabályoknak kell megfelelniük. Továbbá a felhasználók riportokon keresztül képet kaphatnak a napi adattöltési folyamatokról, az aktuális adattisztaságról, jóváhagyási munkafolyamatok definiálhatók az egyes változtatásokra. A meta-adattárra épülő lineage és impact analízis eszközök segítik a részlegek közti kommunikációt, illetve az esetleges fejlesztések üzletre leképzett pozitív, negatív hatásainak megállapítását, mindezzel csökkentve a fejlesztési kockázatokat.

ETL adatfeldolgozás

ETL adatfeldolgozás

A platform InfoSphere Data Stage komponensének legfőbb szerepe akár nagy adatmennyiség, közel valós időben történő mozgatása, melyet kiemelkedő skálázhatósági és párhuzamosíthatósági képességeivel képes megvalósítani. Ezen robosztus, adatbázison kívüli rendszer alapvetően ETL – extract, transform, load – módszerre épít, de ELT, TELT, TETLT megvalósításokat is képes realizálni.

Az adat transzformációs motor partícionálja az elkészített adatfolyamot, majd pipeline párhuzamosíthatóságot alkalmazva gyorsítja annak feldolgozását. Az InfoSphere Change Data Capture (CDC) kiegészítés a forrás adatbázis minimális terhelése mellett is képes az adatok közel valós idejű áttöltésére.

Az eleve párhuzamosítással rendelkező rendszerek, mint a BigData (Hadoop) vagy adattárház céleszköz (PureData System for Analytics) esetén a párhuzamosíthatóság, s az adattranszformáció magán az eszközön megy végbe. Az Information Server for BigData egy speciális kiadás, mely támogatja magán a Hadoop klaszteren, az Apache Spark szolgáltatáson történő, memória alapú adatfeldolgozást.

Önkiszolgáló adatkiszolgálás

Az üzleti felhasználók elemzési igényei mellett fontos megfelelő adatokkal történő kiszolgálásuk is. Az Information Server DataClick komponense egyedülálló módon önkiszolgáló adatkiszolgálást valósít meg. A felhasználó a rendelkezésére álló adatforrásból - BigData vagy adattárház - saját maga töltheti át a releváns, később felhasználni kívánt adatokat.

Adatminőség, adattisztaság, konzisztens nézetek

Az adatminőség ellenőrzési és az ezzel együtt járó adattisztítási folyamat elengedhetetlen eszközei a garantáltan megbízható üzleti adatok előállításának. Az InfoSphere Quality Stage komponense segítségével ezen feldolgozási feladatok felügyelhetővé válnak, az adatok sztenderdizálása, validálása és javítása megvalósítható, garantálva ezzel az adattárházba kerülő adatok jobb minőségét. Utóbbiak javítása, valamint függőségeik elemzése ütemezetten vagy akár valós időben is történhet.

Az eszköz számos minőségi metrikát számítva monitorozza a folyamatokat, amennyiben a normálistól eltérést tapasztal, azonnal meggátolja a hibás információ tovább terjedését. Az ellenőrzés történhet akár betű vagy minta ellenőrzés szintjén. Utóbbi erőteljes képességei észlelik - az adatmezők rendellenessége, inkonzisztenciája és hiányossága ellenére - azok duplikációját és függőségeit. A Quality Stage egyedülálló statisztikai mintaillesztő motorja megállapítja annak a valószínűségét, hogy két vagy több adathalmaz ugyanazt az üzleti objektumot reprezentálja. Ezután az eszköz kapcsoló kulcsokat hoz létre, így a felhasználók valóban egységes üzleti objektumokkal végezhetnek tranzakciókat, vagy tölthetik fel a célrendszereket, mindeközben rendelkezésükre állnak a kapcsolódó adatok is.
Az adatforrás konszolidáció nem csak az előbb bemutatott módon, hanem adatgazdai beavatkozás útján is létrejöhet. Mindkettő célja megegyezik, a törzsadat kezelő rendszer támogatása.

Integrált adatminőség

Integráció

Az InfoSphere Information Server platformja kiemelkedő integrációs képességekkel rendelkezik, egyaránt támogatja a hagyományos és az új informatikai adattárolási és feldolgozási megoldásokat. A relációs adatbáziskezelők széles palettáján túl biztosított a BigData (Hadoop) rendszerekkel, adattárház gyorsító céleszközökkel (IBM PureData System for Analytics) vagy akár felhő-alapú környezettel történő integráció. Az IBM célja, hogy ezen kibővített paletta segítségével minél inkább támogassa a modern adattárház felé támasztott egyetemleges igények megvalósítását.

A platform rugalmasságát bizonyítja, hogy adatintenzív feladatok BigData környezeten vagy céleszközökön történő futtatása esetén képes a feladatot az adatkezelő rendszernek átadni, így minimalizálni az adatmozgatást, közvetlen növelni az adatmozgatás hatékonyságát.
Az IBM InfoSphere Information Server adatintegrációs platform egységes architektúrája és felhasználói felülete révén könnyen kiaknázhatóvá válik a széleskörű eszközkészlete által nyújtott szolgáltatások teljes tárháza. Segítségével a hatékony és robosztus adatfeldolgozás, az adatok transzformációjától kezdve, az adatgazdálkodási funkciókon és a törzsadat kezelésen át egészen azok minőségi felügyeletéig garantálható.

A VIR Zrt. megoldása

Ügyfeleinknél a széleskörűen, különböző adatforrásokból integrált adat tisztítása IBM Infosphere platformra és egyedi alkalmazásra épül. Megoldásunk egyik fontos pillére, hogy nem csak az adatokat, hanem a forrásrendszerek naplóbejegyzéseit is integrálja, tisztítja, transzformálja, majd továbbítja a QRadar SIEM rendszerébe.

A STADA (STAtistical DAtawarehouse) projekt egy olyan komplex adatgyűjtő és kiértékelő rendszer, amely képes pl. a turizmussal kapcsolatos adatok begyűjtésére strukturált és strukturálatlan adatforrásokból. Ezen adatokat a rendszer feldolgozza, tisztítja, szintetizálja, majd a folyamat végén adatvizualizációs eszközök segítségével kimutatásokat képes megjeleníteni, illetve összefüggéseket, előrejelzéseket mutat meg.

A rendszer több különálló szoftverből vagy szoftverrendszerből tevődik össze, amelyek virtuális gépeken illetve konténerizált környezetben futnak.
A projektben az IBM Qradar integrációjának célja az egyes környezetek naplóállományainak, az IBM Infosphere adattisztító alkalmazások megoldásunkban szabványosított naplóinak automatizált begyűjtése és feldolgozása, a biztonsági riasztások generálása mellett.
A monitorozásnál jelentős részben syslog alapú naplók teljes körű feldolgozására épül. Ezen kívül a webes alkalmazás szolgáltatások (IBM Websphere, Apache) naplóállományait is monitorozza. Mind az adattárházakban, mind az adattisztító megoldásunkban általunk ismételhetőre, más megoldásban is azonnal használhatóra elkészített objektumokat használunk a syslog alapú naplózás programozására.

Megoldásunk eredményeképp ezek a syslog szabványú objektumok mások számára is felhasználható, hasznos megoldást nyújtanak.

IBM logo

Kapcsolat:
Bánki Zsolt, +36 20 823 5807
banki.zsolt@virzrt.hu

IBM Megoldások

A weboldalon sütiket használunk statisztikák készítése érdekében!