SIEM

Řešení od společnosti IBM

IBM představuje celosvětově jednu z největší společnost v oblasti výzkumu, vývoje a implementace bezpečnostních nástrojů.

QRadar SIEM

je součástí produktů patřících do portfolia IBM Security. Architektura QRadar SIEM je variabilní dle potřeb organizace ve formě hardwarových, softwarových i virtualizovaných integrovaných zařízení.

Hlavní charakteristiky:

  • Okamžitá normalizace a korelace událostí
  • Korelace slabých míst zabezpečení systému s daty událostí a síťovými daty
  • Pomoc při stanovení priorit bezpečnostních incidentů
  • Modulární systém co do výkonu a úložiště dat
  • Integrace se stovkami IBM a non-IBM produkty
  • Dostupné jako licence on-premise nebo cloud řešení

QRadar obsahuje tyto hlavní platformy:

Log Management je schopen provádět sběr logů z mnoha tříd zařízení IT infrastruktury, bezpečnostních informací, informací o zranitelnostech a podobně. Tato data je možno archivovat, dle několika retenčních politik a opakovaně k nim v budoucnu přistupovat a provádět nad nimi pokročilou bezpečnostní analýzu.

QRadar QFlow modul pro sběr záznamů o datových tocích (flow). Sesbírané informace o tocích jsou zpracovány v Network Behavior Anomaly modulu, a získané události je pak možno korelovat se sesbíranými logy ze systémů a aplikací.

QRadar Risk Management slouží k identifikaci nejzranitelnějších prvků sítě. V okamžiku, kdy jsou tyto prvky zapojeny do aktivity, která je potenciálně nebezpečná, dokáže ihned vygenerovat upozornění.

QRadar Incident Forensics je primárně určen k pokročilé analýze detekovaných anomálií a incidentů v rámci workflow Incident Response. Umožňuje analytikům získávat nad událostmi přehled jak z pohledu časového kontextu, tak i z pohledu kontextu četnosti, historie, vektoru děje (interní/externí), původce/oběti děje. Pro takto koncipované vyšetřování umožňuje zachytávat datové pakety (Native Packet Capture (PCAP) a získat tím nejhlubší možný pohled do infrastruktury Objednatele.

QRadar API funkcionalita umožňuje bezpečný a řízený přístup produktů třetích stran k informacím SIEM. Přístup skrze QRADAR API je auditován interním mechanismem SIEM.

Obecně lze proces v systému IBM Security QRadar SIEM vyjádřit následujícím schématem.

Neméně důležitou informací je, že v ČR je daná oblast řešena Zákonem č. 181/2014 Sb. o kybernetické bezpečnosti, který nařizuje zavedení konkrétních technických opatření, jako např.

  • § 11 - Řízení přístupu a bezpečné chování uživatelů
  • § 21 - Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů
  • § 22 - Nástroj pro detekci kybernetických bezpečnostních událostí
  • § 23 - Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí

Pomůžeme Vás s orientací v dané problematice tak, abyste splnily zákonné či legislativní náležitosti a zároveň předcházeli bezpečnostním incidentům, které by mohly mít vliv na Vaše podnikání.

Success Story

Jedním z klientů v oblasti komplexních služeb pro informační a komunikační bezpečnost je společnost v segmentu Industry patřící mezi TOP 20 firem v České republice. Jako první krok byla provedena komplexní analýza rizik, z níž vyplynula příslušná bezpečnostní politika a návrh implementačního plánu. Příslušné bezpečnostní technologie pak byly budovány systémem „bottom up“:

  • fyzická bezpečnost (integrace EZS, EPS, IP Video dohled)
  • informační bezpečnost na perimetru (next-generation firewall)
  • interní informační bezpečnost (identity management)
  • integrované řízení bezpečnosti (SIEM)

Především integrace řízení bezpečnosti tvoří pro zákazníka zásadní přínos. Je pak schopen vidět bezpečnost jako integrální součást celopodnikového ICT a ne jako „pouhý“ soubor bezpečnostních technologií.