QRadar SIEM von IBM Q1 Labs
-
Upload
immanuel-henne -
Category
Documents
-
view
63 -
download
4
Transcript of QRadar SIEM von IBM Q1 Labs
Q1Labs.com
DATASHEE T
Umfassende Informationen und Sichtbarkeit für die heutigen Sicherheitsher-ausforderungen
QRadar® SIEM, die intelligenteste, am besten integrierte und am stärksten automatisierte SIEM-Lösung
der Branche, bietet eine umfassende Sicht auf Netzwerke sowie Benutzer- und Anwendungsaktivitäten.
Dadurch können Unternehmen potenzielle und bestehende Bedrohungen in ihrem gesamten Netzwerk
erkennen.
SIEM-System für das ganze Unternehmen
QRadar SIEM setzt auf der hoch � exiblen QRadar Security Intelligence Plattform auf und ist eine Lösung
der nächsten Generation, die mit einem Unternehmen reift, für die Anforderungen einer wachsenden
Infrastruktur skalierbar ist und ein gemeinsames Nutzererlebnis für zahlreiche Gruppen im gesamten
Unternehmen bietet. QRadar SIEM verbindet Log-Management mit fortschrittlicher Bedrohungserkennung
und policy-basiertem Compliance-Management. Damit steht eine eng integrierte Lösung zur Verfügung,
die schnell und einfach unternehmensweite Sicherheitsinformationen liefert.
Echtzeit-Sichtbarkeit für das Bedrohungs-, Compliance- und Log-Management
Erkennung & Priorisierung von Bedrohungen
Die heutigen komplexen Netzwerke sind immer stärker von Internet-basierten Bedrohungen und Online-
Betrug betro� en. Verschärft wird das Problem durch die laufende Zunahme von Insider-Diebstählen, bei
denen Mitarbeiter wertvolle Unternehmensinformationen entwenden. QRadar SIEM konsolidiert isolierte
Informationen und ermöglicht es so, komplexe Bedrohungen e� ektiver zu erkennen und wirksamer zu
bekämpfen. Durch Normalisierung und Korrelation der Informationen erhalten Unternehmen schnell
die nötigen Erkenntnisse, um Bedrohungen identi� zieren und behandeln zu können, die von anderen
Sicherheitslösungen mit isolierter Sichtbarkeit nicht gefunden werden.
Mit kontextuellen, praxisrelevanten Kontrollen für die gesamte IT-Infrastruktur ermöglicht QRadar SIEM
Unternehmen die Ermittlung und Beseitigung von Bedrohungen wie etwa: vorschriftswidrige Nutzung
von Anwendungen; Insider-Betrug; Bedrohungen, die bei Millionen von Ereignissen unerkannt bleiben
könnten; etc.
QRadar SIEM erfasst:
Sicherheitsereignisse - Ereignisse bei Firewalls, VPNs, IDS/IPS etc.
Netzwerkaktivitäts-Kontext - Layer 7 Applikations-Kontext vom Netzwerk- und Anwendungsverkehr
QRadar® SIEM hilft Sicherheitsteams,
IT Operations-Managern, Prüfern und
Geschäftsbereichen:
• BEDROHUNGEN ZU ERKENNEN,
DIE ANDEREN LÖSUNGEN
ENTGEHEN
• VORSCHRIFTEN MEHR ALS NUR
ZU ERFÜLLEN
• RISIKEN FÜR IHRE
GESCHÄFTSTÄTIGKEIT ZU
PROGNOSTIZIEREN
• INSIDER-BE TRUG ZU ERKENNEN
• DATENSILOS ZU KONSOLIDIEREN
Liefert wertvolle Sicherheitsinformationen, mit denen Unternehmen ihre IT-Netzwerke und Ressourcen vor den immer zahlreicheren und raffi nierteren Bedrohungen schützen und neue Compliance-Anforderungen erfüllen können
QRadar SIEM
2Q1Labs.com
Benutzer/Asset-Kontext - Kontextdaten von IAM-Produkten und Schwachstellenscannern
Netzwerk-Ereignisse - Ereignisse bei Switches, Routern, Servern, Hosts etc.
Anwendungsprotokolle - ERP, Workfl ow, Anwendungs-Datenbanken, Management-Plattformen etc.
Der Schlüssel zum Datenmanagement: Reduce & Prioritize to Actionable Offenses
In manchen Unternehmen werden Tag für Tag Millionen oder gar Milliarden von Ereignissen erzeugt. Aus
solchen Datenmengen diejenigen Vorkommnisse und Probleme zu destillieren, die vorrangig behandelt werden
müssen, kann eine geradezu beängstigende Aufgabe sein. QRadar SIEM erfasst, speichert und analysiert
Informationsdaten und korreliert Ereignisse in Echtzeit, um die Bedrohungserkennung und das Compliance-
Auditing samt Berichterstattung zu unterstützen. Dabei lassen sich Milliarden von Events und Datenströmen
anhand ihrer Auswirkungen auf das Geschäft auf eine Handvoll von Problemen reduzieren, die ein Eingreifen
erfordern und entsprechend priorisiert werden.
QRadar SIEM ermöglicht die langfristige Erfassung, Archivierung, Abfrage und Meldung von Ereignissen und
Anwendungsdaten. Damit erleichtert die Lösung die Suche und Überprüfung auf hoch entwickelte, anhaltende
Bedrohungen oder schleichende, schwer erkennbare Angri� e.
Management von Bedrohungen: Wer, was, wo, wann, wie?
Sicherheitsteams müssen wissen: Wer greift an? Was wird angegri� en? Wie wirkt sich der Angri� auf das
Geschäft aus? Wo muss ich nachforschen? QRadar SIEM verfolgt sicherheitsrelevante Ereignisse und
Bedrohungen und erstellt eine Historie mit zweckdienlichen und wertvollen Informationen. Dazu zählen etwa
Zeitpunkte, Benutzer, die Verstöße begehen, Angri� sziele, Angreiferpro� le, Anfälligkeits-Status, Asset-Wert,
aktive Bedrohungen und Aufzeichnungen zu früheren Verstößen. Solche Informationen liefern Sicherheitsteams
die nötigen Erkenntnisse, um standortunabhängig zu handeln.
Sichtbarkeit von Anwendungen und Erkennung von Anomalien
QRadar SIEM unterstützt verschiedene Funktionen zur Erkennung von Anomalien, mit deren Hilfe
Verhaltensänderungen bei Anwendungen, Hosts, Servern und in bestimmten Netzwerkbereichen ermittelt
werden können. Dazu zählen beispielsweise Zugri� e außerhalb der Geschäftszeit, übermäßige Nutzung einer
Anwendung oder eines Cloud-Dienstes oder Muster von Netzwerkaktivitäten, die nicht mit den historischen
Pro� len übereinstimmen.
Da QRadar SIEM auch den Datenverkehr auf der Anwendungsebene (Layer 7) erkennt, kann die Lösung
präzise Analysen und Informationen liefern, mit deren Hilfe sich die gesamte IT-Infrastruktur auf Einhaltung
von Policies, Bedrohungen und allgemeine Netzwerkaktivitäten überwachen lässt. Um den Überblick noch
weiter zu verbessern, bietet QRadar SIEM jetzt auch die Fähigkeit, die Nutzung von Anwendungen wie Skype
und Social-Media-Plattformen (einschließlich Twitter, LinkedIn etc.) über das Netzwerk zu überwachen. So
ist es beispielsweise möglich festzustellen, wer welche Dienste und Anwendungen nutzt, die Übertragung
von Inhalten zu melden und zu analysieren und Korrelationen zu anderen Netzwerk- und Log-Aktivitäten
herzustellen, um unzulässige Datentransfers aufzudecken.
QRadar SIEM
Zu den größten Erfolgen, die wir bisher mit
QRadar erzielt haben, gehörte die schnelle
Ermittlung von Hosts, die vom ‚Hear You Have’-
Virus befallen waren, der unser Netzwerk
zu in� ltrieren versuchte. QRadar warnte uns
unverzüglich, wenn Benutzer auf Websites
zugreifen wollten, die mit diesem Virus
befallen waren, oder wenn in� zierte Hosts
versuchten, unsere Firewall zu passieren, um
sich mit dem Netzwerk zu verbinden.
–TY MOSER,
Analyst für Netzwerke und intelligente
Stromnetze bei SRP
3Q1Labs.com
QRadar SIEM unterstützt eine Reihe von Out-of-the-Box-Regeln zur Erkennung von Anomalien und au� älligen
Verhaltensweisen. Die Anwender können ihre eigenen Sichten mittels benutzerfreundlicher Filterfunktionen
anpassen und die Anomalieerkennung auf beliebige Zeitreihendaten anwenden.
Virtuelle Umgebungen
Da virtuelle Server für Sicherheitsschwachstellen genauso anfällig sind wie physische Server, müssen
Unternehmen auch geeignete Maßnahmen festlegen und implementieren, um ihre Anwendungen und Daten
in virtuellen Datencentern zu schützen. Mit QRadar SIEM können IT-Manager besseren Überblick über die
enorme Menge von Aktivitäten gewinnen, die die Geschäftsanwendungen in ihren virtuellen Netzwerken
erzeugen, und diese Anwendungen besser identi� zieren, um die Sicherheit zu überwachen, Verhaltensmuster
auf der Applikationsebene zu analysieren und Anomalien zu erkennen. Zudem können Administratoren auch
Anwendungsinhalte für eingehendere Sicherheits- und Policy-Forensik erfassen.
Erstellung clientseitiger Schwachstellenprofi le
QRadar SIEM ermittelt die anfälligsten Assets in einem Netzwerk, erkennt Aktivitäten, die eine potenzielle
Ausnutzung der vorhandenen Schwachstellen zur Folge haben könnten, und gibt unverzüglich entsprechende
Warnmeldungen aus. Unternehmen können ihr Netzwerk beispielsweise auf ungepatchte Anwendungen,
Geräte und Systeme absuchen und feststellen, welche davon mit dem Internet verbunden sind. Die Priorität für
die Schutzmaßnahmen wird anhand des Risikopro� ls festgelegt, das für jede einzelne Anwendung erstellt wird.
Hoch entwickelte Forensik
Dank der Möglichkeit, Flow- und Ereignisdaten für analytische und forensische Zwecke in Echtzeit zu
durchsuchen sowie standortbasierte und historische Suchabfragen durchzuführen, können Aktivitäten
wesentlich besser bewertet und Probleme leichter behoben werden. Benutzerfreundliche Dashboards,
Zeitreihensichten mit Drill-Down-Funktionalitäten, Untersuchungen des Datenteils von Paketen und Hunderte
von vorde� nierten Suchen und Sichten versetzen die Anwender in die Lage, Daten schnell zu aggregieren,
um Anomalien zu ermitteln und einen Überblick über die Hauptquellen von Aktivitäten zu gewinnen. Zudem
können föderierte Suchen für große, geogra� sch verteilte Umgebungen durchgeführt werden.
QRadar SIEM
Unser primäres Ziel bei der Implementierung
einer SIEM-Lösung war die Erfüllung der
Compliance-Anforderungen. Wir wollten
jedoch noch über das hinausgehen, wozu
die einzelnen Vorschriften uns verp� ichten,
und die zusätzlichen Informationen, die
QRadar erfasst, dazu nutzen, unser Netzwerk
und die darin laufenden Dienste und
Anwendungen rundum sicher zu machen.
Unsere Kunden sollen die Gewissheit
haben, dass wir ihre persönlichen Daten
gut schützen, und genau dies können wir
mithilfe von QRadar. Außerdem haben wir die
Lösung auch gewählt, weil uns Q1 Labs die
umfangreichsten Sicherheitsinformationen
und den besten Kundensupport bietet.
–JEFF DALTON,
Technical Operations Officer bei Regulus
SECURITY INTELLIGENCE: MASSIVE REDUZIERUNG DER DATENMENGEN DANK HÖCHSTER PRÄZISION
4Q1Labs.com
Compliance-Management
QRadar SIEM gewährleistet die Transparenz,
Verantwortlichkeit und Messbarkeit, die entscheidende
Voraussetzungen sind, um regulatorische Vorschriften
erfüllen und die Einhaltung in Berichten nachweisen
zu können. QRadar SIEM bietet einzigartige
Fähigkeiten zur Korrelation und Integration sämtlicher
Informationen, die bei der Überwachung der
Infrastruktur erhoben werden. Auf dieser Basis liefert
die Lösung:
Berichte mit vollständigere Metriken zu IT-Risiken
für Prüfer
QRadar SIEM
Tausende von Report- und Regel-Templates für branchenspezi� sche Compliance-Anforderungen
Da QRadar SIEM jederzeit mittels Auto-Updates um neue De� nitionen, Vorschriften und Best Practices
erweitert werden kann, können Unternehmen auf compliance-orientierte IT-Sicherheitsanforderungen e� zient
reagieren. Zudem können die Pro� le sämtlicher Netzwerkressourcen auch nach Geschäftsfunktion gruppiert
werden (z.B. Server, die Compliance-Audits gemäß HIPAA unterzogen werden müssen).
QRadar bietet vorgefertigte Dashboards, Report- und Regel-Templates für zahlreiche Vorschriften und Kontroll-
Rahmenwerke, darunter CobiT, SOX, GLBA, FISMA, PCI-DSS, UK GSi/GCSx, GPG and ISO [27000].
Sicherheit über eine einzige, hoch intuitive Konsole
Die zentrale Benutzerober� äche von QRadar SIEM dient den Sicherheitsadministratoren von Unternehmen
als solide Arbeitsbasis. Sie ermöglicht rollenbasierte Zugri� e nach Funktion und bietet eine globale Sicht für
Echtzeit-Analysen, Ereignismanagement und Berichterstattung. Standard-Dashboards nach Funktion stehen
zur Verfügung; zudem können die Benutzer eigene Arbeitsbereiche einrichten und bedarfsgerecht anpassen.
Die Drill-Down-Fähigkeiten erleichtern die Ermittlung und Auswahl von Ereignissen oder Netzwerk-Flows, die
mit einem bestimmten Verstoß in Zusammenhang stehen. 3.500 Report-Templates zu spezi� schen Rollen,
Devices, Compliance-Vorschriften und zur vertikalen Industrie sind out-of-the-box verfügbar.
Anders als SIEM-Lösungen, die erst spezi� sch angepasst und manuell kon� guriert werden müssen, um
einsatzfähig zu sein, bietet QRadar SIEM wertvolle Out-of-the-Box-Inhalte, die Prozesse wie die Erkennung von
Ereignisquellen und Assets oder die Erstellung von Anwendungspro� len automatisieren. Zudem aktualisiert
QRadar SIEM wöchentlich automatisch alle Inhalte, einschließlich solcher aus Third-Party-Informationsquellen.
Somit brauchen Unternehmen nur minimale Anpassungen vorzunehmen und können nahezu unverzüglich
Resultate erzielen.
Als marktweit e� zienteste SIEM-Lösung mit den besten Funktionen für automatisches Deployment,
automatische Priorisierung und automatische Berichterstattung erö� net QRadar SIEM Unternehmen bessere
Möglichkeiten zur Überwachung und Analyse und größere Handlungsfähigkeit.
Überwachen Analysieren Handeln
AUTOMATISIERUNG FÜR BESSERES ÜBERWACHEN, ANALYSIEREN UND HANDELN
ADMINISTRATOREN:Auto-Deployment
. Automatische Erkennung von Log-
Quellen. Automatische Erkennung von Anwen-
dungen. Automatische Erkennung von Assets. Automatische Gruppierung von Assets. Zentralisiertes Log-Management. Automatische Kon� gurationsaudits
. Automatischer Abgleich
. Automatische Bedrohun
gserkennung. Tausende von vorde� nierten
Regeln. Unkomplizierte Ereignis� l
terung. Hoch entwickelte Sicherheits-
Forensik
. Tausende von vorde� nierten
Berichten. Asset-basierte Priorisierung. Automatische Updates für
Bedrohungen. Automatische Reaktionen. Gezielte Schutzmaßnahmen
ANALYSE:Auto-Priorisierung
AUDITOREN:Auto-Reporting
GESCHÄFTSLEITUNGKosteneinsparungen
Q1Labs.com 5
Skalierbarkeit & Hochverfügbarkeit
QRadar SIEM ist von Grund auf als vollständige, integrierte Lösung ausgelegt. Sie bietet eine gemeinsame
Plattform und Benutzerober� äche für sämtliche Aufgaben im Bereich Security Intelligence. QRadar SIEM
kann als All-in-one-Lösung für kleine und mittlere Unternehmen oder als außerordentlich hoch skalierbare
Enterprise-Lösung für mittlere bis große Deployments eingesetzt werden.
Für Unternehmen, die großen Wert auf Resilienz legen, bietet QRadar High Availability (HA) hoch
integrierte Mechanismen für automatischen Failover und vollständige Disk-Synchronisation zwischen
verschiedenen Systemen. QRadar HA gewährleistet hoch verfügbare Datenspeicherung und -analyse, lässt
sich mittels eleganten Plug-and-Play-Appliances leicht implementieren und macht den Einsatz zusätzlicher
Fehlermanagementprodukte von Drittanbietern über� üssig.
Unterstützung heterogener Geräte
QRadar SIEM unterstützt mehr als 200 Produkte von praktisch allen führenden Anbietern, die in
Unternehmensnetzwerken eingesetzt werden. So können Daten von einem breiten Spektrum von Systemen
erfasst, analysiert und korreliert werden, einschließlich Netzwerklösungen, Sicherheitslösungen, Servern,
Hosts, Betriebssystemen und Anwendungen. Außerdem lässt sich QRadar SIEM leicht erweitern, um auch
proprietäre Anwendungen und neue Systeme zu unterstützen. QRadar SIEM bietet Unterstützung für Devices
von F5, Cisco, Juniper, Nortel, Checkpoint, Oracle, Sun, Enterasys, Symantec, ISS/IBM, McAfee, Source� re, RSA
und zahlreichen weiteren Herstellern.
1600+ Kunden nutzen Q1 Labs für ihr Sicherheits- und Compliance-Management
Die QRadar Security Intelligence Plattform wird von zahlreichen Unternehmen und Organisationen auf
der ganzen Welt genutzt. Dazu zählen etwa Gesundheitsdienstleister, Energieunternehmen, Einzelhändler,
Versorgungsunternehmen, Finanzinstitute, Behörden und Hochschulen. Setzen Sie sich noch heute mit
uns in Verbindung, damit wir Ihnen die Plattform demonstrieren oder erläutern können, wie QRadar SIEM
Ihrem Unternehmen helfen kann, die Herausforderungen in den Bereichen Bedrohungsmanagement und
Compliance zu bestehen.
Q1Labs
890 Winter Street , Suite 230
Waltham, MA 02451 USA
1.781.250.5800, [email protected]
Copyright 2011 Q1 Labs, Inc. Alle Rechte vorbehalten.
Q1 Labs, das Q1 Labs Logo, Total Security Intelligence
und QRadar sind Warenzeichen oder eingetragene
Warenzeichen von Q1 Labs, Inc. Alle anderen
genannten Firmen- oder Produktnamen können
Warenzeichen, eingetragene Warenzeichen oder
Gebrauchszeichen der jeweiligen Eigentümer sein.
Änderungen bei den technischen Angaben Informa-
tionen in diesem Dokument sind vorbehalten.
DSQRSIEMG0611
QRadar SIEM