معرفی راهکار Qradar شرکت IBM

با توجه به اینکه در حال حاضر شبکه‌ها دارای پیچیدگی‌های زیادی نسبت به قبل می‌باشند، به همین دلیل حافظت از آنها در برابر هکرهای خبره وظیفه‌ای دائمی و همیشگی است. سازمان‌هایی که به دنبال حافظت از اطلاعات مشتریان و حراست از دارایی‌های معنویی و جلوگیری از اختلال در کسب‌و‌کار خود می‌باشند، نیازمند مانیتورینگ فعالانه محیط کسب‌و‌کار خود هستند; تا بتوانند به سرعت تهدیدات را شناسایی و قبل از اینکه هکرها بتوانند آسیب جدی وارد کنند، در مقابله با آنها به درستی واکنش نشان دهند.

محصول Qradar شرکت IBM با هدف فراهم کردن ابزار نظارتی متمرکز برای تیم امنیت سازمان برای نظارت بر داده های امنیتی سازمان و بینش‌ عملی در برابر تهدیدات طراحی و پیاده‌سازی شده است. به عنوان اولین گام در پیاده‌سازی و استفاده از راهکار Qradar، حجم وسیعی از داده‌ها را از سراسر سازمان جمع‌آوری و مورد تحلیل و بررسی قرار می گیرند تا با استفاده از اطلاعات بدست آمده، دید کلی‌ و بهتری از فعالیت‌های داخلی و خارجی و سرویس‌های سازمان بدست آید. با توجه به معماری Qradar به محض اینکه داده‌ها وارد سیستم شدند، Qradar از اطلاعات امنیتی بلادرنگ و خودکار برای شناسایی و الویت‌بندی سریع و دقیق تهدیدات استفاده می‌کند. این سیستم با ایجاد هشدارهای واکنشی، شناخت بیشتری نسبت به حوادث احتمالی ارایه داده و به تحلیلگران امنیتی کمک می‌کند تا سریعاً نسبت به تهدیدات واکنش نشان داده و تأثیر مهاجمان را محدود نمایند. بر خلاف راه حل‌های دیگر، تنها راهکار QRadar با رویکرد رسیدگی به موارد امنیتی با کمترین نیاز به سفارشی سازی، طراحی و پیاده‌سازی شده است.

دستیابی به دیدی جامع و متمرکز

 شبکه‌های پیشرفته می‌تواند شامل شبکه‌های سنتی، زیرساخت‌های ابری و محیط‌های عملیاتی مربوط به تکنلوژی‌های مختلف باشند. همه این شبکه‌ها نیازمند سطحی از نظارت برای حفاظت از دارایی‌ها، شناسایی درست تهدیدات و حفظ یکپارچکی می‌باشند. قبل از اینکه تیم امنیت بتواند شروع به تحلیل و بررسی داده‌ها جهت شناسایی و مدیریت تهدیدات کنند، ابتدا بایستی نظارت متمرکزی بر روی داده‌های امنیتی مختلف داشته باشند. Qradar با جمع‌آوری، تجزیه و تحلیل و نرمال‌سازی لاگ‌ها و Flowهای شبکه به سازمان امکان نظارت جامع و متمرکز در محیط‌های یکپارچه را می‌دهد.
این راهکار شامل 450 ماژول تجزیه و تحلیل و نرمال‌سازی برای تجهیزات مختلف (ماژول‌های DSM) به صورت پیش‌فرض می‌باشد که تنظیمات پیشفرض لازم جهت ادغام شدن با تکنولوژی‌های تجاری دیگر را فراهم می‌کند. مشتریان می‌توانند به سادگی لاگ‌های تجهیزات مختلف را به سمت Qradar ارسال نمایند. راهکار پیاده‌سازی شده می‌تواند به صورت خودکار نوع منبع ارسال لاگ را شناسایی و DSM متناسب با آن را برای تجزیه‌و‌تحلیل و نرمال‌سازی داده‌های لاگ به آن اختصاص دهد. بنابراین مشتریان Qradar برخلاف سایر راهکارها می‌توانند به سرعت این راهکار را پیاده‌سازی و استفاده نمایند. سایر مورتد مربوط به ادغام می‌تواند از طریق IBM Security App Exchange انجام شود. علاوه براین Qradar ویرایشگر متنی برای ویرایش DSM ارایه می‌دهد که تیم امنیت می‌تواند مشخص کند که DSM چگونه لاگ‌های مربوط به یک برنامه کاربری خاص را تجزیه‌و‌تحلیل و نرمال‌سازی نماید.
 برای کمک به ایجاد پایگاه داده مربوط به دارایی‌ها، که سازمان را قادر می‌سازد دارایی‌ها و نواحی حساس شبکه خود را مشخص نماید، Qradar می‌تواند به صورت اتوماتیک داده‌های مربوط به Flow شبکه را بررسی و دارایی‌های معتبر را براساس برنامه‌های کاربردی، پروتکل‌ها، سرویس‌ها و پورت‌های مورد استفاده دسته‌بندی نماید. Qradar از طیف وسیعی از تکنولوژی‌ها، برنامه‌های کاربردی و سرویس‌های ابری جهت کمک به سازمان‌ها برای دستیابی به دیدی جامع نسبت به فعالیت‌های سازمان، پشتیبانی می‌کند. زمانی که این داده‌ها به صورت متمرکز جمع‌آوری شدند، می‌توانند به صورت اتوماتیک و جهت تشخیص تهدیدات، حملات انومالی که ممکن است نشانگر تهدیدات ناشناخته و ریسک بالا باشند که ممکن است داده‌ها را در معرض فاش شدن قرار دهند، تجریه و تحلیل نماید.

 اطلاعات امنیتی اتوماتیک جهت شناسایی سریع تهدیدات

Qradar به صورت اتوماتیک اطلاعات مربوط به یک فعالیت‌ را از بین چندین منبع شامل رویدها‌، Flowهای شبکه، فعالیت کاربران، اطلاعات مربوط به آسیب‌پذیری‌ها و جهت تشخیص تهدیدات شناخته شده و ناشناخته مورد تجزیه‌و‌تحلیل و همبستگی قرار می‌دهد.

طیف وسیعی از اطلاعاتی که Qradar به صورت هوشمندانه‌ تجزیه و تحلیل و نرمال‌سازی می کند، شاما موارد زیر می‌شود.

  • رویدهای امنیتی: رویدادهای مربوط به فایروال‌ها، VPNها، سیستم‌های تشخیص نفوذ، سیستم‌های جلوگیری از نفوذ، پایگاه‌های‌داده و غیره
  • رویدادهای شبکه: رویدادهای مربوط به سوییچ‌ها، روترها‌، سرورها، ایستگاه‌های کاری و هر تجهیز شبکه‌ای دیگر
  • ترافیک شبکه: ترافیک لایه اپلیکیشن (ترافیک لایه 7) از ترافیک شبکه و برنامه‌های کاربردی
  •  فعالیت‌های مربوط به سرویس‌ها ابری: اطلاعات مربوط به سرویس‌ها (SaaS) و زیرساخت‌های (IaaS) ابری مانند Office 365 وب سرویس آمازون، Salesforce.com و Google Cloud
  • اطلاعات مربوط به کاربران و دارایی‌ها: داده‌های مفهومی از سیستم‌های مدیریت کاربران و دارایی‌ها و اسنکرهای مربوط به ارزیابی آسیب‌پذیری‌ها 
  • رویدادهای نقاط پایانی: رویداهای مربوط به ویندوز و ریدادهای مربوط به سیستم‌های DLP و EDR
  • لاگ‌های برنامه‌های کاربردی: رویدادهای مربوط به برنامه‌هایی مانند ERPها، برنامه‌های ابری و غیره
  • اطلاعات مربوط به تهدیدات: از منابعی مانند IBM X-Force

Qradar شامل هزاران مورد کاربردی و امنیتی پیش‌فرض، الگوریتم‌های تشخیص انومالی، قوانین و سیاست‌های بلادرنگ برای همبسته‌سازی اطلاعات جهت تشخیص تهدیدات شناخته شده و ناشناخته می‌باشد. به محض اینکه تهدیدی شناسایی شدند، راهکار SIEM همه رویداهای امنیتی مربوط به آن را در یک هشدار الویت‌بندی شده و تحت عنوان حمله مجتمع می‌کند. حملات به صورت خودکار و براساس هم شدت تهدید و میزان حساسیت دارایی الویت‌بندی می‌شوند. داخل هر حمله، تحلیلگر حمله می‌تواند زنجیره مربوط به فعالیت تهدید را در یک صفحه مشاهده کند. از اینجا به بعد تحلیگر می‌تواند به راحتی با مراجعه به رویداد یا Flow خاصی بررسی خود را شروع کند، حمله را به تحلیلگر دیگری اختصاص دهد یا آن را ببندد.
در صورتی که فعالیتی مرتبط با حملات قبلی اتفاق بیافتد، اطلاعات مربوط به حمله به صورت اتوماتیک بروزرسانی شده و تحلیلگر در هر لحظه به اطلاعات بروز شده دسترسی خواهد داشت.

شناسایی فعالیت‌های غیرعادی شبکه، کاربران و برنامه‌های کاربردی 

با توجه به اینکه هکرها اکثرا از تکنیک‌های پیچیده و بروز استفاده می‌کنند، به همین دلیل روش‌های شناسایی براساس تهدیدات شناخته شده به تنهایی کافی نمی‌باشند. در عوض سازمان‌ها باید توانایی تشخیص کوچکترین تغییرات در رفتار شبکه،کاربر یا سیستم که ممکن است نشانگر یک تهدید ناشناخته باشد را داشته باشند. این تغییر رفتار می‌تواند مربوط به یک کاربر داخلی مخرب یا یک بدافزا و یا یک مجوز لو رفته باشد. Qradar دارای قابلیت‌های متنوعی در شناسایی رفتارهای انومالی برای تشخیص تغییرات رفتاری است که این تغییرات می‌تواند نشانگر یک تهدید ناشناخته باشد. همچنین توانایی منحصربه‌فرد آن برای مانیتور کردن و آنالیز ترافیک لایه 7 مربوط به برنامه‌کاربردی، Qradar را قادر می‌سازد تا به طور دقیق‌تری رفتار انومالی را تشخیص دهد. سازمان می‌توانند با استفاده از ویژگی QRadar Network Insights به عنوان بخشی از راهکار SIEM، بر روی ارتباطات سیستم‌ها با یکدیگر و همچنین چه برنامه‌های کاربردی استفاده می‌شوند و چه اطلاعاتی در بسته‌ها ردوبدل می‌شود، نظارت داشته باشند. با همبسته سازی و ارتباط این اطلاعات با سایر لاگ‌ها و فعالیت کاربر شبکه، تحلیگر امنیت می‌تواند از رفتار غیرنرمال شبکه که ممکن است نشانگر یک سیستم آلوده، کاربر Compromise شده یا تلاش‌های مربوط به انتقال غیرمجاز داده باشد، پرده بردارد. با وجود اینکه Qradar  به صورت پیش‌فرض تعداد شامل تهداد زیادی قانون تشخیص انومالی است، تیم امنیت می‌تواند قوانین دلخواه خود را نیز اضافه نمایند.

نسخ مختلف محصول Qradar

 محصول Qradar می‌تواند به صورت سخت افزاری، نرم افزاری و یا به صورت ماشین مجازی نصب و پیاده سازی شود. معماری این محصول شامل پردازنده‌های رویداد برای تحلیل و بررسی رویدادهای مربوط به تجهیزات مختلف شبکه، فضایی جهت ذخیره‌سازی رویدادها و موتوری برای تحلیل و بررسی داده‌های مربوط به رویدادها می‌باشد. علاوه براین معماری این سیستم شامل سنسورهایی برای جمع آوری و ارسال نیز می باشد. معماری Qradar همچنین شامل پردازنده‌های Flow برای جمع آوری و تحلیل Flowهای مربوط به تجهیزات لایه 4 (شبکه)، پردازنده‌های QFlow جهت بررسی عمیق ترافیک‌های لایه 7 (Application Layer) و همچنین شامل کنسول مدیریتی متمرکز برای تحلیگران مرکز عملیات امنیت (SOC) برای مدیریت سیستم SIEM می‌باشد.

مولفه‌های محصول Qradar شرکت IBM

 Integrated (all-in-one) appliance:

  • مدل 2100: دارای ماژول جمع‌آوری لاگ با نرخ 1000 رویداد در ثانیه، ماژول جمع‌آوری Flow با نرخ 50.000 Flow در دقیقه، فضای ذخیره‌سازی 1.5 ترابایتی
  • مدل 3105: دارای ماژول جمع آوری لاگ با نرخ 5000 رویداد در ثانیه، ماژول جمع آوری Flow با نرخ 200.000 Flow در دقیقه، فضای ذخیره سازی 6.2 ترابایتی
  •  مدل 3128: دارای ماژول جمع آوری لاگ با نرخ 15.000 رویداد در ثانیه، ماژول جمع آوری Flow با نرخ 300.000 Flow در دقیقه، فضای ذخیره سازی 40 ترابایتی
پردازنده های Flow/Event
  • مدل 1805: دارای ماژول جمع آوری لاگ با نرخ 5000 رویداد در ثانیه، ماژول جمع آوری Flow با نرخ 200.000 Flow در دقیقه، فضای ذخیره سازی 6.2 ترابایتی
  •  مدل 1828: دارای ماژول جمع آوری لاگ با نرخ 15.000 رویداد در ثانیه، ماژول جمع آوری Flow با نرخ 300.000 Flow در دقیقه، فضای ذخیره سازی 40 ترابایتی

 پردازنده Flow

  • مدل 1705: دارای ماژول جمع آوری Flow با نرخ 600.000 Flow در دقیقه، فضای ذخیره سازی 6.2 ترابایتی
  • مدل 1728: دارای ماژول جمع آوری Flow با نرخ 1.2میلیون Flow در دقیقه، فضای ذخیره سازی 40 ترابایتی
علاوه بر این محصول Qradar شرکت IBM می تواند لاگ های مربوط به رویدادها و جریان‌های ترافیک مربوط به برنامه های کاربردی ابری را نیز دریافت نماید. برای سازمان‌های که قصد دارند نگهداری و راه اندازی این سیستم برون سپاری نمایند، می‌توانند از محصول Qradar به صورت SaaS ارایه شده بر روی زیرساخت ابری شرکت IBM استفاده نمایند.
 

سایر قابلیت‌های امنیتی Qradar

 علاوه بر قابلیت‌های اساسی و پایه‌ای که اکثر سیستم‌های SIEM حرفه‌ای در اختیار شما قرار می‌دهند، محصول Qradar شرکت IBM می‌تواند از منابع اطلاعاتی هوشمند تهدیدات (Threat intelligence feeds) بیرونی نیز استفاده کند. یک سامانه SIEM خریداری شده از شرکت IBM می تواند شامل لایسنس IBM Security X-Force Threat Intelligence نیز باشد. به کمک این ماژول می توان IPها و URLهای مربوط به یک فعالیت مخرب را شناسایی کرد. بعد از شناسایی، برای هر IP و یا URL شناسایی شده یک فید اطلاعاتی تهدید، شامل امتیاز و دسته ایجاد می‌شود که می تواند به سازمان در تحلیل و الویت بندی تهدیدات کمک کند.
نکته مهم و قابل توجه درباره محصول Qradar SIEM این است که این سامانه تنها بخشی از پلتفرم IBM Qradar Security Intelligence می‌باشد که شامل ماژول مدیریت ریسک، سیستم مدیریت تهدیدات، تحلیل های فارنزیکی و سیستم پاسخ به حوادث می باشد.
 

قابلیت‌های گزارش‌گیری

 سیستم گزارش‌گیری QRadar از چندین نیازمندی مربوط به فرمت گزارش‌دهی انطباقی از جمله الزامات مربوط به حوزه سلامت (HIPAA)، استانداردهای مربوط به امنیت داده‌های صنعت پرداخت کارتی (PCI DSS)، قانون گرام-لیچ-بیلی (GLBA)، شرکت Electric Reliability در آمریکای شمالی و کمیسیون تنظیم مقرارات انرژی فدرال (NERC) پشتیبانی می کند. علاوه بر این سیستم گزارش‌دهی Qradar ویزاردی جهت ایجاد گزارشات سفارشی در اختیار تیم‌ SOC قرار می دهد تا بتوانند از طریق آن گزارش های سفارشی مد نظر خود را ایجاد کنند