معرفی راهکار Qradar شرکت IBM
سیستم امنیتی اطلاعاتی و مدیریت رویداد Qradar
در حال حاضر شبکهها به طبع افراد و دستگاههای متصل به آن و اطلاعات در گردش دارای پیچیدگیهای زیادی نسبت به قبل میباشند. به همین دلیل حافظت از آنها در برابر هکرهای خبره کاری سخت و دائمی است.
پس سازمانهایی که به دنبال حفاظت از اطلاعات مشتریان و حراست از داراییهای مادی و معنویی و جلوگیری از اختلال در کسبوکار خود هستند، نیازمند مانیتورینگ فعالانه محیط کسبوکار خود میباشند. این موضوع به سازمانها کمک میکند تا بتوانند به سرعت تهدیدات را شناسایی و قبل از آسیب جدی هکرها به داراییهایشان واکنش مناسبی در برابر آنها داشته باشند.
شرکت IBM محصول SIEM خود را با نام Qradar و با هدف آنالیز متمرکز دادههای امنیتی سازمان و ایجاد دیدی شفاف در برابر تهدیدات، به بازار عرضه کرده است.
معماری Qradar به گونهایست که به محض ورود دادهها به سیستم، از اطلاعات امنیتی بلادرنگ و خودکار برای شناسایی و الویتبندی سریع و دقیق تهدیدات استفاده میشود. این سیستم با ایجاد هشدارهای واکنشی، شناخت بیشتری نسبت به حوادث احتمالی ارایه و به تحلیلگران امنیتی کمک میکند تا سریعاً نسبت به تهدیدات واکنش نشان داده و تأثیر مهاجمان را محدود نمایند. بر خلاف راه حلهای دیگر، تنها این راهکار QRadar است با رویکرد رسیدگی به موارد امنیتی با کمترین نیاز به سفارشی سازی، طراحی شده است.
در اولین گام از پیادهسازی و استفاده از راهکار Qradar، حجم وسیعی از دادهها از سراسر سازمان جمعآوری و مورد تحلیل و بررسی قرار می گیرند. با استفاده از اطلاعات بدست آمده، دید جامع و بهتری از فعالیتهای داخلی و خارجی و سرویسهای سازمان بدست میآید.
دستیابی به دیدی جامع و متمرکز
شبکههای پیشرفته میتواند شامل شبکههای سنتی، زیرساختهای ابری و محیطهای عملیاتی مربوط به تکنولوژیهای مختلف باشند. همه این شبکهها نیازمند سطحی از نظارت برای حفاظت از داراییها، شناسایی درست تهدیدات و حفظ یکپارچکی میباشند. قبل از اینکه تیم امنیت بتواند شروع به تحلیل و بررسی دادهها جهت شناسایی و مدیریت تهدیدات کند، ابتدا بایستی ابزار نظارتی متمرکزی برای دادههای امنیتی مختلف وجود داشته باشد. Qradar با جمعآوری، تجزیه و تحلیل و نرمالسازی لاگها و Flowهای شبکه به سازمان امکان نظارت جامع و متمرکز در محیطهای یکپارچه را میدهد.
Qradar به طور پیش فرض شامل 450 ماژول تجزیه و تحلیل و نرمالسازی برای تجهیزات مختلف (ماژولهای DSM) میباشد. علاوه براین Qradar تنظیمات پیشفرض لازم جهت ادغام شدن با تکنولوژیهای تجاری را نیز دارد. به همین دلیل سازمانها میتوانند به سادگی لاگهای تجهیزات مختلف را به سمت Qradar ارسال نمایند.
در کنار همه این موارد Qradar ویرایشگر متنی ارایه میدهد که تیم امنیت میتواند مشخص کند که DSM چگونه لاگهای مربوط به یک برنامه کاربری خاص را تجزیه و تحلیل و نرمالسازی نماید.
شناسایی داراییهای سازمان
Qradar در جهت کمک به ایجاد پایگاه دادهای از داراییها و نواحی حساس سازمان، میتواند به صورت اتوماتیک دادههای مربوط به Flow شبکه را بررسی و داراییهای معتبر را براساس برنامههای کاربردی، پروتکلها، سرویسها و پورتهای مورد استفاده دستهبندی کند.
ویژگی اصلی Qradar پشتیبانی از دریافت لاگ از طیف وسیعی از تکنولوژیها، برنامههای کاربردی و سرویسهای ابری میباشد. تجزیه و تحلیل اتوماتیک این اطلاعات میتواند به سازمانها در راستای رسیدن به دیدی جامع و شفاف از فعالیتهای سازمان و تشخیص تهدیدات و حملات انومالی و ناشناخته علیه داراییهای سازمان کمک میکند.
استخراج اطلاعات امنیتی به صورت کاملا اتوماتیک
Qradar برای شناسایی تهدیدات شناخته شده و ناشناخته، به صورت کاملا اتوماتیک اطلاعات مربوط به یک فعالیت خاص را از چندین منبع شامل رویدهای دیوایسهای مختلف، Flowهای شبکه، فعالیتهای کاربران و اطلاعات مربوط به آسیبپذیریها را تجزیه و تحلیل و همبسته سازی قرار میدهد.
اطلاعاتی که Qradar به صورت هوشمندانه تجزیه و تحلیل و نرمالسازی می کند، شاما موارد زیر میشود.
- رویدهای امنیتی: رویدادهای مربوط به فایروالها، VPNها، سیستمهای تشخیص نفوذ، سیستمهای جلوگیری از نفوذ، پایگاههایداده و غیره
- رویدادهای شبکه: رویدادهای مربوط به سوییچها، روترها، سرورها، ایستگاههای کاری و هر تجهیز شبکهای دیگر
- ترافیک شبکه: ترافیک لایه اپلیکیشن (ترافیک لایه 7)
- فعالیتهای مربوط به سرویسها ابری: اطلاعات مربوط به سرویسها (SaaS) و زیرساختهای (IaaS) ابری مانند Office 365 وب سرویس آمازون، Salesforce.com و Google Cloud
- اطلاعات مربوط به کاربران و داراییها: دادههای مفهومی از سیستمهای مدیریت کاربران و داراییها و اسنکرهای مربوط به ارزیابی آسیبپذیریها
- رویدادهای نقاط پایانی: رویداهای مربوط به ویندوز و ریدادهای مربوط به سیستمهای DLPها و آنتی ویروسها و غیره
- لاگهای برنامههای کاربردی: رویدادهای مربوط به برنامههایی مانند ERPها، برنامههای ابری و غیره
- اطلاعات مربوط به تهدیدات: از منابعی مانند IBM X-Force
Qradar به صورت پیشفرض شامل هزاران مورد کاربردی و امنیتی، الگوریتمهای تشخیص انومالی، قوانین و سیاستهای بلادرنگ برای همبستهسازی اطلاعات میباشد که برای تشخیص تهدیدات شناخته شده و ناشناخته استفاده میشود.
به محض شناسایی یک تهدید توسط Qradar، همه رویداهای امنیتی مربوط به آن در یک هشدار الویتبندی شده و تحت عنوان حمله مجتمع میشود. در Qradar حملات به صورت خودکار و براساس شدت تهدید و میزان حساسیت دارایی، الویتبندی میشوند. در داخل اطلاعات هر حمله، تحلیلگر میتواند زنجیره مربوط به فعالیت تهدید را مشاهده کند. در ادامه تحلیل حمله تحلیگر میتواند به راحتی به رویداد یا Flow خاصی مراجعه کند یا کار تحلیل حمله را به تحلیلگر دیگری اختصاص دهد یا آن را ببندد.
در صورتی که فعالیتی مرتبط با حملات قبلی اتفاق بیافتد، اطلاعات مربوط به حمله به صورت اتوماتیک بروزرسانی شده و تحلیلگر در هر لحظه به اطلاعات بروز شده دسترسی خواهد داشت.
شناسایی فعالیتهای غیرعادی شبکه، کاربران و برنامههای کاربردی
مولفههای اصلی Qradar
محصول Qradar میتواند به صورت سخت افزاری، نرم افزاری و یا به صورت ماشین مجازی نصب و پیاده سازی شود. معماری این محصول شامل پردازندههای رویداد برای تحلیل و بررسی رویدادهای مربوط به تجهیزات مختلف شبکه، فضا جهت ذخیرهسازی رویدادها و موتور همبسته ساز برای تحلیل و بررسی دادههای مربوط به رویدادها میباشد.
علاوه براین در معماری این سیستم سنسورهایی برای جمع آوری و ارسال لاگها، پردازندههای Flow برای جمع آوری و تحلیل Flowهای مربوط به تجهیزات لایه 4 (شبکه)، پردازندههای QFlow جهت بررسی عمیق ترافیکهای لایه 7 (Application Layer) و همچنین کنسول مدیریتی متمرکز برای تحلیگران مرکز عملیات امنیت (SOC) برای مدیریت سیستم SIEM در نظر گرفته شدت است.
نسخ مختلف Qradar
Integrated (all-in-one) appliance:
- مدل 2100: دارای ماژول جمعآوری لاگ با نرخ 1000 رویداد در ثانیه، ماژول جمعآوری Flow با نرخ 50.000 Flow در دقیقه، فضای ذخیرهسازی 1.5 ترابایتی
- مدل 3105: دارای ماژول جمع آوری لاگ با نرخ 5000 رویداد در ثانیه، ماژول جمع آوری Flow با نرخ 200.000 Flow در دقیقه، فضای ذخیره سازی 6.2 ترابایتی
- مدل 3128: دارای ماژول جمع آوری لاگ با نرخ 15.000 رویداد در ثانیه، ماژول جمع آوری Flow با نرخ 300.000 Flow در دقیقه، فضای ذخیره سازی 40 ترابایتی
- مدل 1805: دارای ماژول جمع آوری لاگ با نرخ 5000 رویداد در ثانیه، ماژول جمع آوری Flow با نرخ 200.000 Flow در دقیقه، فضای ذخیره سازی 6.2 ترابایتی
- مدل 1828: دارای ماژول جمع آوری لاگ با نرخ 15.000 رویداد در ثانیه، ماژول جمع آوری Flow با نرخ 300.000 Flow در دقیقه، فضای ذخیره سازی 40 ترابایتی
پردازنده Flow
- مدل 1705: دارای ماژول جمع آوری Flow با نرخ 600.000 Flow در دقیقه، فضای ذخیره سازی 6.2 ترابایتی
- مدل 1728: دارای ماژول جمع آوری Flow با نرخ 1.2میلیون Flow در دقیقه، فضای ذخیره سازی 40 ترابایتی
سایر قابلیتهای امنیتی Qradar
در صورتی که شما سامانه SIEM شرکت IBM خریداری کنید، شما میتوانید این سامانه را با لایسنس IBM Security X-Force Threat Intelligence خریداری کنید. به کمک این ماژول میتوان IPها و URLهای مربوط به فعالیتهای مخرب را شناسایی و برای هر IP و یا URL شناسایی شده یک فید اطلاعاتی تهدید، شامل امتیاز و دسته ایجاد کرد. این ماژول می تواند به سازمانها در تحلیل و الویت بندی تهدیدات کمک کند.
قابلیت گزارشگیری
سیستم گزارشگیری QRadar از چندین نیازمندی مربوط به فرمت گزارش گیری انطباقی، از جمله الزامات مربوط به حوزه سلامت (HIPAA)، استانداردهای مربوط به امنیت دادههای صنعت پرداختهای الکترونیکی (PCI DSS)، قانون گرام-لیچ-بیلی (GLBA)، شرکت Electric Reliability در آمریکای شمالی و کمیسیون تنظیم مقرارات انرژی فدرال (NERC) پشتیبانی می کند. علاوه بر این سیستم گزارشدهی Qradar ویزاردی جهت ایجاد گزارشات سفارشی در اختیار تیم SOC قرار می دهد تا بتوانند از طریق آن گزارش های سفارشی مد نظر خود را ایجاد کنند.