企業のITセキュリティとリスク管理に影響を及ぼすユーザー、アプリケーション、IT基盤の機器類から生成されるデータをリアルタイムに収集、正規化して分析するセキュリティ・インテリジェンスをパッケージ化した製品がIBM Security QRadarです。収集したデータからシステム全体を可視化、脅威の存在を見つけ出します。
人手では分析が困難な大量のログ情報をリアルタイムに相関分析し、システム上で発生している異常を発見、予期される脅威を検出します。さらに、ネットワークやアセット、ユーザーなどの状況から検出されたインシデントの脅威を識別、ビジネス上のリスクが大きいインシデントを特定し、警告します。アラートに埋もれて対処の優先順位がわからなくなるという恐れはありません。
IBM Security QRadarはシステムのログ情報だけでなく、レイヤ7でのネットワークのフロー情報も収集して、どのようなアプリケーションが組織内外のコンピュータと通信を行っているかも把握できるようになっています。ネットワークのフロー情報も加味して分析することで、より高い精度での脅威の発見を可能にしています。
アプリケーション毎に送信バイト数を集約して可視化した例
ネットワーク・アクティビティ・モニタリングIBM Security QRadarは設置、導入が容易な物理アプライアンスのほか、仮想アプライアンス、ソフトウェアとして提供されています。導入先の環境に合わせて、また導入後のスケーリングを考慮して使いやすい形態をお選びいただけます。
IBM QRadar SIEMは、既知のセキュリティ脅威だけでなく、未知のセキュリティ脅威の可視化を短期間で実現します。
IBM QRadar SIEMは、既知のセキュリティ脅威だけでなく
未知のセキュリティ脅威の可視化を
短期間で実現します。
350種類以上のルールと分析パターン、1000種類以上の検索パターンとレポートを使うことで、導入フェーズに必要な期間を大きく短縮。すぐに、セキュリティ向上に取り組めます。
セキュリティ研究機関の知見を活かした豊富なテンプレートでベストプラクティスに基づくSIEMを効率的に導入・運用できます。
約350種のテンプレートでベストプラクティスによる脅威の発見/可視化を実現
| テンプレート | |
|---|---|
| 振る舞い検知 | DB接続が異常に多いホスト、海外からのリモート接続、複数のFWでDenyされるホスト、高いイベント発生率 |
| 認証 | 連続したログイン失敗後のログイン成功、退職者のアカウントでのログイン失敗、スキャン後のログイン成功 |
| Exploit | 検出された攻撃に対して脆弱性があるホスト、攻撃の後にFW許可、攻撃後15分以内の疑わしい挙動イベント |
| D/DoS | 一定時間に大量のパケットを送信しているローカルのホスト、数千以上の外部IPアドレスから社内への通信の発生 |
| ボットネット | 潜在的なボットネットへの接続、機知のボットネットC&Cとの通信 |
| コンプライアンス | 監査サービスへの変更、信頼度の低いネットワークから高いネットワークへの通信 |
| データベース | 複数の場所からの同時ログイン、リモート・ホストからのグループの設定変更 |
| マルウェア | リモートへのマルウェア通信の検出、不正なDNSサーバーとの通信 |
| ポリシー | P2Pの利用、脆弱性が残っているホストの通信、平文通信プロトコルの利用 |
| 調査 | リモートからのTCPスキャン、ローカル・ネットワーク内でのDNSスキャン |
| 疑わしい挙動 | コンシューマー機器検出、短時間の特定ポートによる複数ホストへの通信 |
| VMware | Vmware環境における異常性の高いゲストOSの挙動、イベントの監視(ゲストOSの作成、削除、クローン、 スナップショット監視) |
| ワーム | 一定時間内のSMTP通信、一定時間内に多数のホストとの通信 |
| X-Force® | X-Force®の脅威情報(IPレピュテーション)に適合するIP通信の検知(ボットネット、Anonymous Proxyなど) |
IBMのセキュリティ研究開発機関であるIBM X-Forceは、世界中のネットワークを監視して常に最新の脅威情報を研究しています。攻撃手法や危険なIPアドレスなどに関する最新情報は、IBM Security QRadarのテンプレートルールにも反映され、常に最新の脅威への備えとして活用できます。
グレーゾーンのリスクも広範囲でアラートすることができ 「想定外の脅威」や「予兆」の検知にも威力を発揮します。
インシデントとして定義されていないリスクへの「気づき」を与える広範囲なアラートを提供
関連する情報を集約して通知するためアラートの洪水を防ぎ、的確な対処を可能に
ポリシー設計及び単一検知
ログ検知ポリシー策定&フィルタリングによるアラート検知量の適正化
▼
ただし、捨てているログあり
QRadar利用
これまでは有効利用できなかった
ログによる脅威検出が可能
各ログのリスクレベル:
高
中
低
エントリーモデルからの充実したラインナップによりスモールスタート&スケールアウトによる投資最適化が可能です。
グループ企業など複数の組織を統合監視したい場合にも、IBM Security QRadarは力を発揮します。それぞれの組織に分散設置することでログ保管に必要なストレージも分散可能。これにより最大数百テラバイトにまでログ保存領域を拡張できます。しかも、これらを統合的に管理する上で、実際のログデータがどこにあるか意識する必要はありません。
フローからフォレンジックまで、QRadarの別機能を追加が可能です。
IBM Security QRadarは従来のログ管理製品やSIEM製品の持つ機能に加え、ネットワークのフロー情報からアクティビティや振る舞いまで分析します。
ダッシュボードでは、システム全体から集められた情報の分析結果がリアルタイムに可視化されます。どのような異常が見受けられるのか、どのような脅威にさらされていると考えられるのか、システム全体の状態をひと目で把握できます。
サポートされるネットワーク・データとログ・データ
フロー・ソース
ログ・ソース
QRadarによるセキュリティモニタリング運用開始までに必要となる各種導入作業支援、および操作トレーニングを行い、導入から運用開始までをトータルに支援します。
| サービス内容 |
|
|---|
SCSKセキュリティのセキュリティ知識、SIEM運用ノウハウを投じて、実際のお客様の環境に適用するためのテンプレートルールづくりを支援します。
| サービス内容 |
|
|---|
SCSKセキュリティのQRadarエンジニアとセキュリティアナリストが、お客様環境にて設置されているQRadarのシステム運用、アラート分析、インシデント対応を支援します。
| サービス内容 |
|
|---|
QRadar製品のスペシャリストとサイバーセキュリティアナリストが連携しリモートからワンストップで技術支援を行います。これにより、QRadar運用に係わるお客様の課題をスピーディに解決致します。
| フェーズ | 提供項目 | 範囲・補足 |
|---|---|---|
| 監視システム運用 | QRadar製品に関わる使用方法や動作仕様 | 使用方法・動作仕様の補足説明 |
| QRadar製品情報の提供 | リリース情報、修正内容(不具合、脆弱性対策)の提供 | |
| QRadar動作の不具合時の対応アドバイス | IBMサポート窓口との調査代行、データ収集、原因調査、対応策提示を実施 | |
| 分析 | QRadar発生オフェンスに対する検知仕様の提示、追加調査のアドバイス、顧客判断に基づく調査の実施 | 検知ルール仕様、リスクシナリオの説明とログ調査 |
| ルール誤検知時のチューニング方針の提示 | 検知内容の調査結果からチューニング条件の検討と設定 | |
| インシデント発生時の影響、原因、侵入経路調査代行 | インシデント対応アドバイス判断と連携した調査作業 | |
| その他サイバー攻撃、脆弱性情報に関わるナレッジのヒアリング | 脅威、攻撃内容にかかわる各種情報の提供 | |
| サイバー攻撃に関わるトレンド情報の提供 | 最近のセキュリティトピックの解説(脆弱性内容解説、CVE情報、対策案など) | |
| インシデント対応 | インシデント判断の妥当性、確認ポイントのアドバイス | 検知内容、調査結果に基づく、インシデント判断のポイントの解説 |
| インシデント発生時の影響判断、トリアージ、隔離、封じ込め方法などのアドバイス | 発生インシデントの影響範囲、原因、侵入経路や漏洩内容の重要度判断に関わる各種アドバイス |
Copyright © SCSK Security Corporation
