Az IBM QRadar teljes képességű loggyűjtő és logelemző rendszer, funkcionalitásának teljes spektrumát más megoldással csak több, különböző gyártójú, felületű és képességű rendszerek munkaigényes integrációjával lehetne lefedni:

IBM Qradar termékek: IBM QRadar Log Manager és IBM QRadar SIEM

Az IBM® QRadar® Log Manager összegyűjti, elemzi, tárolja és jelentéseket készít a hálózati biztonsági naplóeseményekről, hogy segítsen a szervezeteknek megvédeni magukat a fenyegetésekkel, támadásokkal és biztonsági rések ellen a QRadar Sense Analytics™ motor segítségével. A Sense Analytics a nyers eseményeket eszközökről, szerverekről, operációs rendszerekről, alkalmazásokról, végpontokról és sok másról konvertálja használható, kereshető intelligencia adatokká. A QRadar Log Manager segít a szervezeteknek megfelelni a megfelelőség-felügyeleti és jelentési követelményeknek, és zökkenőmentesen frissíthető IBM Security QRadar SIEM-re a magasabb szintű fenyegetésvédelem érdekében.

Az IBM Security QRadar SIEM még jobban a nagyvállalati igényekhez és terheléshez szabott termék, amely a biztonsági intelligencia képességeinek teljes skáláját tartalmazza a helyszíni telepítésekhez. Konszolidálja a naplóforrás- és hálózati áramlási adatokat a hálózaton elosztott eszközök, végpontok és alkalmazások ezreiből, és azonnali normalizálási és korrelációs tevékenységeket hajt végre a nyers adatokon, hogy megkülönböztesse a valódi fenyegetéseket a hamis pozitívoktól.

A Gartner versenyhelyzetet ábrázoló diagramján is piacvezető az IBM megoldása:

IBM mondta: "Úgy véljük, hogy a QRadar rugalmas telepítési módszerei, az események egyszerű kezelése, a nyitott API-k a szorosabb integrációkhoz, a mesterséges intelligencia támogatása a vizsgálatokhoz, a MITRE ATT&CK keretrendszerhez való beépített illesztés, valamint a szoros SIEM + SOAR integráció az IBM Security Resilient-el vezetett az idei beszámolóban megszerzett helyünkhöz.”

Az IBM Qradar legfőbb erősségei:

A cégeknek manapság egyre több és több szabálynak és törvénynek kell megfelelniük, mint például Sarbanes-Oxley, Good Practice Guide 13 (GPG-13), Financial Services Authority (FSA), Garante, HIPAA, FISMA, GLBA, PCI, és NERC, valamint Magyarországon a 2013. évi L. törvény és a 41/2015. (VII. 15.) BM rendelet.

Az összegyűjtött hatalmas mennyiségű adat és esemény fogja az alapját képezni az egyes auditoknak. A QRadar segít abban, hogy pontosabb adat álljon rendelkezésre az operátorok számára, egy esetleges nyomozás esetén széleskörűen begyűjtött adatokkal lehessen dolgozni, valamint teljes riportolási képességet biztosít az auditorok számára.

Az IBM Business Automation Workflow (BAW) egyetlen integrált munkafolyamat-megoldásban ötvözi az üzleti folyamatok kezelését és az ügykezelési képességeket. Egyesíti az információs folyamatokat, és a felhasználók 360°-os képet nyújtanak a munkáról, hogy elősegítsék a sikeresebb üzleti eredményeket. A BAW mind felhős előfizetésben, mind pedig helyben telepített konfigurációban elérhető. Az IBM BAW tartalmazza a dokumentum-orientált munkafolyamatok kezeléséhez szükséges termékeket:

Az üzleti probléma

Ügyfelünk számos "legacy" alkalmazást, környezetet és rendszereket használ, melyek naplóinak bekötése a QRadar feldolgozásba nem egyszerű. A naplók olyan bejegyzéseket tartalmazhatnak, melyekkel kapcsolatban azonnali riasztás, reakció válna szükségessé, használnák a QRadar általi képességeket erre a célra. A legfontosabb feladat az IBM BAW with RPA alatt működő robotok szabványosított naplókezelése, melyet a QRadar-ral feldolgozva a robotok által érintett rendszerek napló üzeneteivel egységben lehet kezelni, átlátni.

A VIR Zrt. megoldása

Az IBM QRadar a standard napló bejegyzésekkel operáló, napló gyűjtő központra felkészített szoftver rendszerekkel működik out-of-the-box. Az egyedi alkalmazások, nem egységesített naplózású rendszerek outputjait egyenként át kellene alakítani, hogy a QRadar-ban feldolgozásra kerülhessenek.

Az IBM BAW with RPA alkalmazások nincsenek felkészítve a standardizált naplózásra. A robotokba bele kell programozni a naplózást, mely fejlesztőként és környezetenként változó, különböző részletességű és felépítésű szöveges állományokban kerül vezetésre.

Kiegészítettük a standard IBM BAW with RPA környezetet egy naplózási keretrendszerrel (RPA syslog framework), mely a következő komponensekből áll:

• a syslog standard naplózást végző bot, melyet be kell illeszteni minden robotba,
• robotok elejére másolandó, syslog bot-ot meghívó eljárás definíció,
• fejlesztői iránymutatás a robotok fejlesztőinek.

A robotok így a syslog szabvány szerint naplózódnak, a QRadar-ba értékes inputot szolgáltatnak a rendszereken átnyúló hibafelderítéshez, riasztásokhoz. A robotok naplóbejegyzése pl.:

<110>1 2017-05-11T21:14:15.00 automany.example.com appname[AHSZ-AHSZ-01] - ID47 [exampleSDID@32473 iut="3" eventSource=" eventID="1011"] BOMAnapplication log entry...

mely a QRadar-nak már feldolgozható naplóbejegyzés.

Végeredményben a QRadar a gyárilag syslog képes rendszerek mellett a robotok napló bejegyzéseit is feldolgozva, teljesebb képet mutat az Ügyfelünk informatikai rendszerének esetlegeses problémáiról, kiegészülve a QRadar riasztási képességeivel.

IBM Megoldások