معرفی راهکار Qradar شرکت IBM

سیستم امنیتی اطلاعاتی و مدیریت رویداد Qradar

در حال حاضر شبکه‌ها به طبع افراد و دستگاه‌های متصل به آن و اطلاعات در گردش دارای پیچیدگی‌های زیادی نسبت به قبل می‌باشند. به همین دلیل حافظت از آنها در برابر هکرهای خبره کاری سخت و دائمی است.

پس سازمان‌هایی که به دنبال حفاظت از اطلاعات مشتریان و حراست از دارایی‌های مادی و معنویی و جلوگیری از اختلال در کسب‌و‌کار خود هستند، نیازمند مانیتورینگ فعالانه محیط کسب‌و‌کار خود می‌باشند. این موضوع به سازمان‌ها کمک می‌کند تا بتوانند به سرعت تهدیدات را شناسایی و قبل از آسیب جدی هکرها به دارایی‌هایشان واکنش مناسبی در برابر آنها داشته باشند.

شرکت IBM محصول SIEM خود را با نام Qradar و با هدف آنالیز متمرکز داده‌های امنیتی سازمان و ایجاد دید‌ی شفاف در برابر تهدیدات، به بازار عرضه کرده است.

معماری Qradar به گونه‌ایست که به محض ورود داده‌ها به سیستم، از اطلاعات امنیتی بلادرنگ و خودکار برای شناسایی و الویت‌بندی سریع و دقیق تهدیدات استفاده می‌‌شود. این سیستم با ایجاد هشدارهای واکنشی، شناخت بیشتری نسبت به حوادث احتمالی ارایه و به تحلیلگران امنیتی کمک می‌کند تا سریعاً نسبت به تهدیدات واکنش نشان داده و تأثیر مهاجمان را محدود نمایند. بر خلاف راه حل‌های دیگر، تنها این راهکار QRadar است با رویکرد رسیدگی به موارد امنیتی با کمترین نیاز به سفارشی سازی، طراحی شده است.

در اولین گام از پیاده‌سازی و استفاده از راهکار Qradar، حجم وسیعی از داده‌ها از سراسر سازمان جمع‌آوری و مورد تحلیل و بررسی قرار می گیرند. با استفاده از اطلاعات بدست آمده، دید جامع‌ و بهتری از فعالیت‌های داخلی و خارجی و سرویس‌های سازمان بدست می‌آید.

دستیابی به دیدی جامع و متمرکز

شبکه‌های پیشرفته می‌تواند شامل شبکه‌های سنتی، زیرساخت‌های ابری و محیط‌های عملیاتی مربوط به تکنولوژی‌های مختلف باشند. همه این شبکه‌ها نیازمند سطحی از نظارت برای حفاظت از دارایی‌ها، شناسایی درست تهدیدات و حفظ یکپارچکی می‌باشند. قبل از اینکه تیم امنیت بتواند شروع به تحلیل و بررسی داده‌ها جهت شناسایی و مدیریت تهدیدات کند، ابتدا بایستی ابزار نظارتی متمرکزی برای داده‌های امنیتی مختلف وجود داشته باشد. Qradar با جمع‌آوری، تجزیه و تحلیل و نرمال‌سازی لاگ‌ها و Flowهای شبکه به سازمان امکان نظارت جامع و متمرکز در محیط‌های یکپارچه را می‌دهد.

Qradar به طور پیش فرض شامل 450 ماژول تجزیه و تحلیل و نرمال‌سازی برای تجهیزات مختلف (ماژول‌های DSM) می‌باشد. علاوه براین Qradar تنظیمات پیشفرض لازم جهت ادغام شدن با تکنولوژی‌های تجاری را نیز دارد. به همین دلیل سازمان‌ها می‌توانند به سادگی لاگ‌های تجهیزات مختلف را به سمت Qradar ارسال نمایند.

Qradar می‌تواند به صورت خودکار نوع منبع ارسال لاگ را شناسایی و DSM متناسب با آن را برای تجزیه‌و‌تحلیل و نرمال‌سازی لاگ‌های ارسالی اختصاص دهد. بنابراین مشتریان Qradar برخلاف سایر راهکارها می‌توانند به سرعت این راهکار را پیاده‌سازی و استفاده نمایند.سایر موارد مربوط به ادغام با محصولات امنیتی از طریق IBM Security App Exchange انجام می‌شود.
در کنار همه این موارد Qradar ویرایشگر متنی ارایه می‌دهد که تیم امنیت می‌تواند مشخص کند که DSM چگونه لاگ‌های مربوط به یک برنامه کاربری خاص را تجزیه ‌و ‌تحلیل و نرمال‌سازی نماید.

شناسایی دارایی‌های سازمان

Qradar در جهت کمک به ایجاد پایگاه داده‌ای از دارایی‌ها و نواحی حساس سازمان، می‌تواند به صورت اتوماتیک داده‌های مربوط به Flow شبکه را بررسی و دارایی‌های معتبر را براساس برنامه‌های کاربردی، پروتکل‌ها، سرویس‌ها و پورت‌های مورد استفاده دسته‌بندی کند.

ویژگی اصلی Qradar پشتیبانی از دریافت لاگ از طیف وسیعی از تکنولوژی‌ها، برنامه‌های کاربردی و سرویس‌های ابری می‌باشد. تجزیه و تحلیل اتوماتیک این اطلاعات می‌تواند به سازمان‌ها در راستای رسیدن به دیدی جامع و شفاف از فعالیت‌های سازمان و تشخیص تهدیدات و حملات انومالی و ناشناخته علیه دارایی‌های سازمان کمک می‌کند.

استخراج اطلاعات امنیتی به صورت کاملا اتوماتیک

Qradar برای شناسایی تهدیدات شناخته شده و ناشناخته، به صورت کاملا اتوماتیک اطلاعات مربوط به یک فعالیت‌ خاص را از چندین منبع شامل رویدها‌ی دیوایس‌های مختلف، Flowهای شبکه، فعالیت‌های کاربران و اطلاعات مربوط به آسیب‌پذیری‌ها را تجزیه ‌و ‌تحلیل و همبسته سازی قرار می‌دهد.

اطلاعاتی که Qradar به صورت هوشمندانه‌ تجزیه و تحلیل و نرمال‌سازی می کند، شاما موارد زیر می‌شود.

رویدهای امنیتی: رویدادهای مربوط به فایروال‌ها، VPNها، سیستم‌های تشخیص نفوذ، سیستم‌های جلوگیری از نفوذ، پایگاه‌های‌داده و غیره
رویدادهای شبکه: رویدادهای مربوط به سوییچ‌ها، روترها‌، سرورها، ایستگاه‌های کاری و هر تجهیز شبکه‌ای دیگر
ترافیک شبکه: ترافیک لایه اپلیکیشن (ترافیک لایه 7)
فعالیت‌های مربوط به سرویس‌ها ابری: اطلاعات مربوط به سرویس‌ها (SaaS) و زیرساخت‌های (IaaS) ابری مانند Office 365 وب سرویس آمازون، Salesforce.com و Google Cloud
اطلاعات مربوط به کاربران و دارایی‌ها: داده‌های مفهومی از سیستم‌های مدیریت کاربران و دارایی‌ها و اسنکرهای مربوط به ارزیابی آسیب‌پذیری‌ها
رویدادهای نقاط پایانی: رویداهای مربوط به ویندوز و ریدادهای مربوط به سیستم‌های DLPها و آنتی ویروس‌ها و غیره
لاگ‌های برنامه‌های کاربردی: رویدادهای مربوط به برنامه‌هایی مانند ERPها، برنامه‌های ابری و غیره
اطلاعات مربوط به تهدیدات: از منابعی مانند IBM X-Force

Qradar به صورت پیشفرض شامل هزاران مورد کاربردی و امنیتی، الگوریتم‌های تشخیص انومالی، قوانین و سیاست‌های بلادرنگ برای همبسته‌سازی اطلاعات می‌باشد که برای تشخیص تهدیدات شناخته شده و ناشناخته استفاده می‌شود.

به محض شناسایی یک تهدید توسط Qradar، همه رویداهای امنیتی مربوط به آن در یک هشدار الویت‌بندی شده و تحت عنوان حمله مجتمع می‌شود. در Qradar حملات به صورت خودکار و براساس شدت تهدید و میزان حساسیت دارایی، الویت‌بندی می‌شوند. در داخل اطلاعات هر حمله، تحلیلگر می‌تواند زنجیره مربوط به فعالیت تهدید را مشاهده کند. در ادامه تحلیل حمله تحلیگر می‌تواند به راحتی به رویداد یا Flow خاصی مراجعه کند یا کار تحلیل حمله را به تحلیلگر دیگری اختصاص دهد یا آن را ببندد.

در صورتی که فعالیتی مرتبط با حملات قبلی اتفاق بیافتد، اطلاعات مربوط به حمله به صورت اتوماتیک بروزرسانی شده و تحلیلگر در هر لحظه به اطلاعات بروز شده دسترسی خواهد داشت.

شناسایی فعالیت‌های غیرعادی شبکه، کاربران و برنامه‌های کاربردی

با توجه به اینکه هکرها اکثرا از تکنیک‌های پیچیده و بروز استفاده می‌کنند، به همین دلیل روش‌های شناسایی براساس تهدیدات شناخته شده به تنهایی کافی نمی‌باشند. به همین دلیل سازمان‌ها باید توانایی تشخیص کوچکترین تغییرات در رفتار شبکه،کاربر یا سیستم را داشته باشند. این تغییر رفتار ممکن است نشانگر یک تهدید ناشناخته یا مربوط به یک کاربر داخلی مخرب یا بدافزا و یا یک مجوز لو رفته باشد.

در راستای هدف شناسایی رفتارهای غیرعادی شبکه، کاربران و برنامه‌های کاربردی، Qradar دارای قابلیت‌های متنوعی می‌باشد. مانیتورینگ و آنالیز ترافیک لایه 7 یکی از این قابلیت‌هاست که Qradar برای تشخیص دقیق‌ رفتارهای انومالی برنامه‌های کاربردی استفاده می‌کند. علاوه براین سازمان‌ها می‌توانند از ویژگی QRadar Network Insights به عنوان بخشی از راهکار SIEM خود استفاده و بر روی ارتباطات سیستم‌ها با یکدیگر، نوع برنامه‌های کاربردی مورد استفاده و اطلاعات ردبدل شده در بسته‌ها، نظارت کامل داشته باشند.

در واقع Qradar با همبسته سازی و ایجاد ارتباط بین این اطلاعات با سایر لاگ‌ها و فعالیت‌های کاربران شبکه، به تحلیگران امنیت می‌تواند تا رفتار های غیرنرمال شبکه که ممکن است نشانگر یک سیستم آلوده، یک مجوز نقض شده یا تلاش‌برای انتقال غیرمجاز داده باشد را به سرعت تشخیص دهند. Qradar به صورت پیش‌فرض دارای تعداد زیادی قانون برای تشخیص رفتارهای انومالی می‌باشد و این اجازه را نیز می‌دهد که تیم امنیت بتواند قوانین دلخواه خود را نیز اضافه کنند.

مولفه‌های اصلی Qradar

محصول Qradar می‌تواند به صورت سخت افزاری، نرم افزاری و یا به صورت ماشین مجازی نصب و پیاده سازی شود. معماری این محصول شامل پردازنده‌های رویداد برای تحلیل و بررسی رویدادهای مربوط به تجهیزات مختلف شبکه، فضا جهت ذخیره‌سازی رویدادها و موتور همبسته ساز برای تحلیل و بررسی داده‌های مربوط به رویدادها می‌باشد.

علاوه براین در معماری این سیستم سنسورهایی برای جمع آوری و ارسال لاگ‌ها، پردازنده‌های Flow برای جمع آوری و تحلیل Flowهای مربوط به تجهیزات لایه 4 (شبکه)، پردازنده‌های QFlow جهت بررسی عمیق ترافیک‌های لایه 7 (Application Layer) و همچنین کنسول مدیریتی متمرکز برای تحلیگران مرکز عملیات امنیت (SOC) برای مدیریت سیستم SIEM در نظر گرفته شدت است.

نسخ مختلف Qradar

Integrated (all-in-one) appliance:

مدل 2100: دارای ماژول جمع‌آوری لاگ با نرخ 1000 رویداد در ثانیه، ماژول جمع‌آوری Flow با نرخ 50.000 Flow در دقیقه، فضای ذخیره‌سازی 1.5 ترابایتی
مدل 3105: دارای ماژول جمع آوری لاگ با نرخ 5000 رویداد در ثانیه، ماژول جمع آوری Flow با نرخ 200.000 Flow در دقیقه، فضای ذخیره سازی 6.2 ترابایتی
مدل 3128: دارای ماژول جمع آوری لاگ با نرخ 15.000 رویداد در ثانیه، ماژول جمع آوری Flow با نرخ 300.000 Flow در دقیقه، فضای ذخیره سازی 40 ترابایتی

پردازنده های Flow/Event

مدل 1805: دارای ماژول جمع آوری لاگ با نرخ 5000 رویداد در ثانیه، ماژول جمع آوری Flow با نرخ 200.000 Flow در دقیقه، فضای ذخیره سازی 6.2 ترابایتی
مدل 1828: دارای ماژول جمع آوری لاگ با نرخ 15.000 رویداد در ثانیه، ماژول جمع آوری Flow با نرخ 300.000 Flow در دقیقه، فضای ذخیره سازی 40 ترابایتی

پردازنده Flow

مدل 1705: دارای ماژول جمع آوری Flow با نرخ 600.000 Flow در دقیقه، فضای ذخیره سازی 6.2 ترابایتی
مدل 1728: دارای ماژول جمع آوری Flow با نرخ 1.2میلیون Flow در دقیقه، فضای ذخیره سازی 40 ترابایتی

علاوه بر این محصول Qradar می تواند لاگ‌های مربوط به رویدادها و جریان‌های ترافیک برنامه های کاربردی زیرساخت ابری را نیز دریافت نماید. همچنین سازمان‌های که قصد برون سپاری راه اندازی و نگهداری این سیستم را دارند می‌توانند محصول Qradar را که به صورت SaaS بر روی زیرساخت ابری شرکت IBM ارایه شده است را خریداری نمایند.

سایر قابلیت‌های امنیتی Qradar

علاوه بر قابلیت‌های اساسی و پایه‌ای که اکثر سیستم‌های SIEM حرفه‌ای در اختیار شما قرار می‌دهند، محصول Qradar می‌تواند از منابع اطلاعاتی هوشمند تهدیدات (Threat intelligence feeds) بیرونی نیز استفاده کند.
در صورتی که شما سامانه SIEM شرکت IBM خریداری کنید، شما می‌توانید این سامانه را با لایسنس IBM Security X-Force Threat Intelligence خریداری کنید. به کمک این ماژول می‌توان IPها و URLهای مربوط به فعالیت‌های مخرب را شناسایی و برای هر IP و یا URL شناسایی شده یک فید اطلاعاتی تهدید، شامل امتیاز و دسته ایجاد کرد. این ماژول می تواند به سازمان‌ها در تحلیل و الویت بندی تهدیدات کمک کند.

نکته مهم و قابل توجه درباره محصول Qradar این است که این سامانه تنها بخشی از پلتفرم IBM Qradar Security Intelligence می‌باشد که شامل ماژول مدیریت ریسک، سیستم مدیریت تهدیدات، تحلیل های فارنزیکی و سیستم پاسخ به حوادث می‌باشد.

قابلیت گزارش‌گیری

سیستم گزارش‌گیری QRadar از چندین نیازمندی مربوط به فرمت گزارش گیری انطباقی، از جمله الزامات مربوط به حوزه سلامت (HIPAA)، استانداردهای مربوط به امنیت داده‌های صنعت پرداخت‌های الکترونیکی (PCI DSS)، قانون گرام-لیچ-بیلی (GLBA)، شرکت Electric Reliability در آمریکای شمالی و کمیسیون تنظیم مقرارات انرژی فدرال (NERC) پشتیبانی می کند. علاوه بر این سیستم گزارش‌دهی Qradar ویزاردی جهت ایجاد گزارشات سفارشی در اختیار تیم‌ SOC قرار می دهد تا بتوانند از طریق آن گزارش های سفارشی مد نظر خود را ایجاد کنند.