IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager

Transcripción

1 IBM Security Systems QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar constituye una plataforma de inteligencia de seguridad líder en el mercado gracias a su enorme capacidad de aportar inteligencia a los logs multifabricante de la empresa, su sencillez de manejo e implementación y su escalabilidad hacen de esta solución la de mayor rapidez de implementación del mercado y disponible desde instalaciones medianas hasta cualquier empresa en las Fortune 50 a nivel mundial. La plataforma de inteligencia de seguridad QRadar permite desde la simple colección de logs y generación de informes de auditoría y el cumplimiento normativo, hasta una gestión proactiva de la seguridad y colección de datos sobre ataques avanzados para su análisis forense, auditoría y cumplimiento de las regulaciones de seguridad existentes. QRadar, Plataforma de inteligencia de seguridad (SIEM) AppScan, Securización de aplicaciones IBM Security Network Intrusion Prevention System, IPS Gestión de Identidades Securización de Bases de Datos QRadar dispone de los siguientes elementos: QRadar Log Manager QRadar SIEM QRadar Risk Manager QRadar Vulnerability Manager QRadar QFlow & VFlow QRadar Incident Forensics QRadar Log Manager QRadar Log Manager recoge datos a través de una amplia variedad de sistemas de seguridad y de red tales como routers, switches, firewalls, VPNs, IDS/IPS, aplicaciones anti-virus, hosts y servidores, bases de datos, aplicaciones mail y web, dispositivos especiales, y eventos de aplicaciones propietarias, coleccionadas a través de un módulo de soporte de dispositivos. Un motor de reglas preconfiguradas procesa cada evento en tiempo real asignándole un nivel de severidad, credibilidad y relevancia y lanzando una respuesta adecuada vía , posicionándolo en el dashboard o añadiendo el evento en un set de características similares para su futura monitorización.

2 Gestión centralizada e inteligencia de eventos de red y seguridad Reportes dirigidos al cumplimiento normativo preconfigurados y customizables, para cumplir con las regulaciones existentes. Confiable, almacenamiento de log securizado para investigación forense y uso de evidencias jurídicas. Altamente escalable y con posibilidad de upgrade a SIEM. QRadar SIEM QRadar SIEM es el líder de Mercado de Inteligencia de seguridad y gestión de eventos para operación centralizada de securización de la información en cualquier organización. Proporciona completa visibilidad y conocimiento para proteger redes y bienes IT de un amplio tipo de ataques avanzados. QRadar SIEM proporciona una solución de seguridad integrada en red en un simple y cohesionado sistema. La aproximación que hace QRadar SIEM de la seguridad proporciona un set de servicios sin comparación que incluye: Log management Gestión de ataques/fraude Gestión de cumplimiento de normativa Gestión avanzada de eventos de seguridad Monitorización de actividad de usuarios Monitorización de actividad de aplicaciones.

3 Sofisticada correlación de eventos en tiempo real de, flujos, activos, topologías, vulnerabilidades y datos externos para identificar y priorizar ataques. Captura de flujo de capa 7 y red para inspección profunda de aplicaciones y examen forense. Gestión de los flujos para un mapeo completo de ataques y asegurar la solución, reducción de falso positivo y esfuerzo manual. Arquitectura escalable para asegurar el soporte a grandes despliegues usando base de datos embebida y arquitectura de datos unificada. QRadar Risk Manager QRadar Risk Manager es un componente integral de la solución de inteligencia de seguridad que ayuda a los profesionales de la seguridad a estar a la cabeza de protección contra ataques avanzados. Brinda la habilidad para, proactivamente, cuantificar los riesgos derivados de vulnerabilidades, errores de configuración, actividad anómala de la red y ataques proporcionando a las organizaciones de prevención de problemas en datos y activos. QRadar Risk Manager permite la correlación de información sobre la topología de la red con datos de QRadar SIEM incluyendo configuración de activos, vulnerabilidades, eventos de la red y patrones de flujos. Esto proporciona descubrimientos relevantes sobre qué activos y vulnerabilidades causan los mayores riesgos de manera que el staff de IT puede priorizar sus acciones de subsanación. Auditoría detallada de configuración, que ayuda a mejorar la consistencia de las reglas de configuración de firewalls incluyendo reglas ocultas y otros errores de configuración.

4 Auditoría y comparación de cambios de configuración, que alerta al usuario del riesgo en configuraciones fuera de los parámetros de normativa. Búsqueda rápida y eficiente de actividad de la red, que permite reducir esfuerzo y tiempo en análisis forenses. Correlación avanzada de bases de datos de red, que proporciona información de una amplia variedad de eventos de red, seguridad y de fuentes de configuración que mejora la precisión de los resultados. QRadar Vulnerability Manager QRadar Vulnerability Manager ayuda a identificar problemas en la configuración de distintas fuentes, a entender el impacto de actualizaciones programadas de software, a coordinar con los sistemas de prevención de intrusiones a bloquear conexiones abiertas y establece una monitorización continua de los sistemas que no podría ser realizado de otra manera, todo desde un solo centro de mando integrado. Conjuntamente con el análisis de eventos de seguridad que brinda QRadar SIEM, con el análisis de configuraciones y tráfico en red y IBM X-Force, QRadar Vulnerability Manager ayuda a las organizaciones a construir planes de seguridad coherentes y sostenibles en el tiempo. Seguridad Proactiva. Escáner interno de alta velocidad que ayuda a preservar la disponibilidad y prestaciones de la red. Escáner externo para ver la red desde el punto de vista del atacante y facilitar el cumplimiento normativo. Investigaciones de un solo click, monitorización rápida sobre eventos específicos o riesgos de largo recorrido en el tiempo. Asignación de vulnerabilidades y gestión del ciclo de vida de acciones de mitigación.

5 QRadar QFlow & VFlow QRadar QFlow & VFlow es una solución que conjuntamente con los procesadores de flujo QRadar proporciona visibilidad de capa 7, independientemente de si los dispositivos de los que recibimos dichos logs soportan capa 7 o no, así como clasificación del estado de aplicaciones y protocolos como voz sobre IP (VoIP), multimedia, ERP, bases de datos y cientos de otros protocolos y aplicaciones más comunes. Los datos obtenidos del flujo en red por aplicación son sometidos a una inspección completa de cada paquete, lo que permite una detección avanzada de ataques a través del análisis del contenido de los mismos. La correlación de esta información con eventos de seguridad en la red, vulnerabilidades, información de identidades e inteligencia de seguridad brinda un camino óptimo para obtener una visión precisa y completa del estado de seguridad en las empresas. Dado que el tráfico de servidores virtualizados no puede ser inspeccionado usando las técnicas de monitorización tradicional, IBM ofrece QRadar VFlow para proporcionar visibilidad de capa de aplicación dentro de todo el tráfico de red virtual con soporte para entornos virtuales VMware que permite el perfilado de más de 1000 aplicaciones preconfigurado de fábrica. Esta solución puede también analizar el tráfico de los puertos al switch físico lo que ayuda a cubrir el hueco entre el mundo físico y virtual. Adicionalmente VFlow corre en servidor virtual por lo que no requiere ningún hardware adicional haciendo de esta una solución muy efectiva en coste. Detección de malware y actividad de virus/worm con el perfilado de comportamientos y detección de anomalías a través de todo el tráfico de red, incluyendo aplicaciones, hosts, protocolos y áreas de red. Cumplimiento de las regulaciones mediante políticas de análisis profundo de aplicaciones y protocolos, alertas sobre comportamiento del tráfico de red. Monitorización de tráfico en Social-media: Detección de anomalías e inspección de paquetes basado en la captura de contenido que identifica a los equipos de alerta sobre los ataques provenientes o relacionados con aplicaciones social media. Análisis avanzado de incidentes y reducción de falsos positivos mediante la correlación de eventos de seguridad con el tráfico concurrente en la red.

6 Perfilado continuo de activos: Colección y monitorización de fuentes de información continua permiten a QRadar SIEM identificar y clasificar automáticamente nuevos activos y el descubrimiento de que puertos y servicios están corriendo. QR IBM Security QRadar Incident Forensics Incident Forensics es una solución software- y appliance- diseñada para ofrecer a los equipos de seguridad de las empresas una mayor visibilidad y claridad en actividades de investigación relacionadas con incidentes de seguridad. Este conocimiento puede ser utilizado para ayudar a descubrir el contexto completo de un incidente de seguridad en la red, remediar el daño producido y reducir las posibilidades de la salida de información y la posibilidad de recurrencia de pasadas incidencias. Un interface simple permite búsquedas intuitivas de datos relacionados con incidentes de seguridad, incluyendo documentos o capturas de paquetes, datos estructurados o no estructurados, y documentos que van desde , voz sobre IP, visitas a webs, blog posts y añadidos a mensajes como ficheros o imágenes. QRadar Incident Forensics indexa y correlaciona todos estos datos, priorizando la efectividad de la búsqueda para ayudar a distinguir los ataques reales de los falsos positivos generados mediante una regla de correlación SIEM. Mediante la reconstrucción de los datos originados en la red en su forma original y recreando el incidente, la solución proporciona información valiosa para el equipo de seguridad que puede de esta forma analizar y prevenir ataques externos e internos y documentar evidencias relacionadas con un ataque. Reducción drástica de los costes y tiempos de investigación tras un incidente de seguridad. Permite, junto con QRadar SIEM, la identificación de puntos débiles, y fallos de la infraestructura ayudando a los equipos de seguridad a su remediación. Provee de pruebas forenses para casos de litigación.