Система сбора, анализа и обработки событий безопасности на базе IBM QRadar Security Intelligence Platform


Внедрение Системы сбора, анализа и обработки событий безопасности на базе IBM QRadar Security Intelligence Platform обеспечивает существенное повышение эффективности процессов системы информационной безопасности и снижение рисков информационной безопасности критически важных корпоративных ресурсов организаций в условиях роста количества и разнообразия угроз для ИТ-инфраструктуры.

Система сбора, анализа и обработки событий безопасности на базе IBM QRadar Security Intelligence Platform, разработанная и внедряемая НТЦ «Вулкан», является инструментом поддержки решения таких задач организации-заказчика, как:

  • обеспечение единой точки сбора, хранения и анализа информации о событиях ИБ, генерируемых ИТ-инфраструктурой и средствами защиты информации,
  • получение «фактуры» для расследования инцидентов, когда требуется обеспечить глубокую ретроспективу лого» (годы, месяцы),
  • оперативное выявление аварийных ситуаций и инцидентов ИБ по данным корреляционного анализа событий,
  • автоматизация процессов оценки соответствия требованиям (Compliance),
  • внедрение/совершенствование процессов управления ИТ на основе ITSM,
  • создание центра оперативного управления ИБ (SOC).

Внедрение Системы сбора, анализа и обработки событий безопасности, реализованной на платформе IBM QRadar Security Intelligence Platform позволяет заказчику:

  • Обеспечить централизацию сбора информации и накопления статистики инцидентов.
  • Осуществлять мониторинг и анализ вредоносного ПО.
  • Заблаговременно выявлять предпосылки к авариям и инцидентам.
  • Выявлять внутренние угрозы информационной безопасности.
  • Расследовать и оперативно реагировать на инциденты информационной безопасности.
  • Контролировать и управлять уязвимостями и рисками ИТ-инфраструктуры.
  • Обеспечить автоматизацию процедур оценки соответствия требованиям.
  • Реализовать проактивный подход к обеспечению информационной безопасности.

При внедрении Системы сбора, анализа и обработки событий безопасности на платформе IBM QRadar Security Intelligence Platform НТЦ «Вулкан» выполняет:

  • Анализ ИТ-инфраструктуры и систем ИБ заказчика, выявление потребностей в их контроле.
  • Идентификацию источников событий Системы (средства защиты информации, серверы и рабочие станции, ОС, СУБД, приложения, сетевое и периферийное оборудование и т.п.).
  • Селекцию событий для обработки, определение технологии доступа.
  • Оценку потока событий.
  • Документирование требований к Системе, разработку ТЗ.
  • Разработку и ввод в действие процедур управления событиями.
  • Развертывание программного обеспечения.
  • Подключение источников событий к Системе, в том числе – штатно не поддерживаемых платформой.
  • Настройку правил корреляции.
  • Разработку и кастомизацию информационных панелей и шаблонов отчетов.
  • Тестирование Системы и передачу в эксплуатацию.

Согласно Gartner, на сегодняшний день IBM QRadar Security Intelligence Platform одна из самых популярных платформ для создания систем класса SIEM. Используется более чем на 1 600 предприятиях различных отраслей по всему миру.

155.png

IBM QRadar Security Intelligence Platform обладает рядом существенных преимуществ в своем классе:

  • Штатно поддерживает сбор и анализ данных из различных источников.
  • Обеспечивает возможность контроля угроз, логов и соответствия политикам в режиме реального времени.
  • Содержит средства эффективного управления данными.
  • Поддерживает управления угрозами.
  • Включает средства для видимости приложений и обнаружения сетевых аномалий.
  • Обеспечивает полную видимость виртуальной среды.
  • Позволяет профилировать уязвимости на стороне клиента.
  • Позволяет управлять соответствием.
  • Обладает гибкими возможностями настройки информационных панелей и отчетов.
  • Масштабируема и отказоустойчива.
  • Позволяет осуществлять интеграцию и поддержку свыше 200 продуктов сторонних производителей – ведущих вендоров решений в сфере ИБ и ИТ.

IBM QRadar Security Intelligence Platform

Возможности IBM QRadar Security Intelligence Platform по обработке событий:

  • Отображение и анализ потока сообщений о событиях в режиме, близком к реальному времени.
  • Обработка сетевого трафика на Layer4 (транспортный уровень).
  • Обработка сетевого трафика на Layer7 (уровень приложений) с использованием технологии DPI (Deep Packet Inspection).
  • Выявление и приоритизация угроз на основе постоянно обновляемых встроенных правил, а также возможность создавать собственные правила на всевозможные сценарии атак и несанкционированных действий.
  • Работа с атаками, растянутыми во времени, которые легко могут затеряться в «шуме» миллионов событий.

Отличия IBM QRadar Security Intelligence Platform от прочих платформ:

  • Простота и скорость развертывания.
  • Интуитивно-понятный интерфейс.
  • Простота подключения неподдерживаемых источников событий.
  • Возможность приоритизации и добавления дополнительной информации об активах, автоматическое обнаружение активов, управление уязвимостями (встроенный и внешние сканеры уязвимости).
  • Оптимизация хранения и индексации метаданных (по умолчанию индексируется только необходимый минимум).
  • Широкие возможности для масштабирования, в том числе возможность подключения внешнего хранилища любого производителя.
  • Возможность исторической корреляции событий (тестирование правил на уже полученных данных).

Основные бизнес-результаты внедрения Системы сбора, анализа и обработки событий безопасности на базе IBM QRadar Security Intelligence Platform для заказчика:

  • Оптимизация операционных затрат на ИБ.
  • Минимизация рисков ИБ и связанных рисков.
  • Обеспечение соответствия требованиям законодательства и нормативных актов в сфере ИБ.