4 Основні компоненти платформи ibm qRadar siem та їх призначення
Лекція_Т2 ББМХТ 3.1. Компоненти системи IBM QRadar SIEM та їх призначення.
Використовуйте компоненти IBM QRadar для масштабування розгортання QRadar та керування збиранням та обробкою даних у розподілених мережах.
Важливим моментом є те, що програмне забезпечення для всіх пристроїв IBM QRadar у розгортанні повинні бути однаковим за версією та рівнем виправлення. Розгортання, які використовують різні версії програмного забезпечення, не підтримуються, оскільки оточення, в яких використовуються змішані версії, можуть спричинити непристріл правил, не створювати та не оновлювати порушення та помилки в результатах пошуку.
Розгортання QRadar може включати такі компоненти:
Консоль QRadar (QRadar Console)
QRadar Console забезпечує інтерфейс QRadar призначений для користувача, а також в режимі реального часу огляд подій і потоків, звіти, порушення, інформацію про ресурси, а також адміністративні функції.
У розподілених розгортаннях QRadar використовуйте консоль QRadar для керування хостами, що включають інші компоненти.
Колектор подій QRadar (Event Collector)
Event Collector збирає події з локальних і віддалених джерел журналів, а також нормалізує необроблені вихідний журнал подій форматувати їх для використання QRadar. Колектор подій зв'язує або з’єднує однакові події для збереження використання системи та надсилає дані процесору подій.
Використовуйте QRadar Event Collector 1501 у віддалених місцях із повільними посиланнями WAN. Прилади колектора подій не зберігають події локально. Натомість прилади збирають та аналізують події, перш ніж надсилати події на пристрій процесора подій для зберігання.
Колектор подій може використовувати обмежувачі пропускної здатності та графіки для надсилання подій процесору подій для подолання обмежень WAN, таких як переривчасте підключення.
Колектору подій призначається ліцензії EPS, яка відповідає процесору подій, до якого він підключений.
Процесор подій QRadar (QRadar Event Processor)
Процесор подій обробляє події, зібрані з одного або декількох компонентів колектора подій. Процесор подій обробляє події за допомогою користувальницького механізму правил (CRE). Якщо події збігаються зі спеціальними правилами CRE, визначеними на консолі, процесор подій виконує дію, визначену для відповіді на правило.
Кожен процесор подій має локальне сховище, а дані про події зберігаються на процесорі або можуть зберігатися у вузлі даних.
Швидкість обробки подій визначається ліцензією ваших подій в секунду (EPS). Якщо ви перевищуєте швидкість EPS, події буферуються та залишаються у черзі джерела збирача подій, поки швидкість не знизиться. Однак якщо ви продовжуєте перевищувати ліцензійну ліцензію EPS, а черга заповнюється, система відміняє події, і QRadar видає попередження про перевищення вашої ліцензованої швидкості EPS.
Коли ви додаєте процесор подій до пристрою All-in-One, функція обробки подій переноситься з All-in-One в процесор подій.
Колектор потоків (QRadar QFlow Collector)
Колектор потоків збирає потоки, підключаючись до порту SPAN або до мережевої TAP. IBM QRadar QFlow Collector також підтримує збір зовнішніх джерел даних на основі потоку, таких як NetFlow від маршрутизаторів.
QRadar QFlow Collectors не розроблений як система повноцінного захоплення пакетів. Для повного захоплення пакетів перегляньте параметр QRadar Incident Forensics. Пристрій QRadar QFlow Collector 1310, зокрема, може пересилати пакети до пристрою перехоплення пакетів QRadar, який дозволяє збирати потік та збирати пакет з одного джерела пакету.
Ви можете встановити колектор QRadar QFlow Collector на власне обладнання або скористатися одним із приладів QRadar QFlow Collector.
Обмеження: QRadar Log Manager не підтримує збір потоку або колектори потоку, які підтримуються лише у розгортаннях QRadar SIEM.
Процесор потоку QRadar (QRadar Flow Processor)
Процеси процесора потоку протікають з одного або декількох приладів QRadar QFlow Collector. Пристрій Flow Processor також може збирати потоки зовнішніх мереж, такі як NetFlow, J-Flow та sFlow безпосередньо з маршрутизаторів у вашій мережі. Ви можете використовувати пристрій процесора потоку для масштабування розгортання QRadar для управління швидкістю потоку в хвилину (FPM). Процесори потоку включають в себе вбудований процесор потоку та внутрішнє сховище для даних потоку. Коли ви додаєте процесор потоку до пристрою "все в одному", функція обробки переміщується з пристрою "все в одному" до процесора потоку.
Вузол даних (QRadar Data Node)
Вузли даних дозволяють новим та існуючим розгортанням QRadar додавати потужність зберігання та обробки за потребою. Вузли даних допомагають збільшити швидкість пошуку у вашому розгортанні, надаючи більше апаратних ресурсів для запуску пошукових запитів.
Хост додатків QRadar (QRadar App Host)
Хост додатків - це керований хост, який призначений для запуску програм. Хости додатків забезпечують додаткові ресурси для зберігання, пам'яті та процесора для ваших додатків, не впливаючи на обробну здатність вашої консолі QRadar. Такі програми, як User Behavior Analytics with Machine Learning Analytics, вимагають більше ресурсів, ніж зараз доступно на Консолі.
components of IBM QRadar SIEM
https://www.ibm.com/support/knowledgecenter/SS42VS_7.3.2/com.ibm.qradar.doc/c_qradar_comps2_deployment_guide.html
5 Основні функції IBM QRadar SIEM та їх зміст.
4 вопрос
6 Призначення SOC (Security Operations Center) та його основні компоненти
Security operations center (SOC) –
команда, яка складається в основному з аналітиків безпеки, організованих для виявлення, аналізу, відповіді, звітування та запобігання інцидентам кібербезпеки.
Таким образом, SOC - это группа специалистов по защите информации, которые непрерывно осуществляют контроль за сообщениями, поступающими от технических средств, для того, чтобы как можно оперативнее устранить угрозу информационной безопасности.
https://www.securityvision.ru/blog/soc-chto-eto/
7 Основні принципи забезпечення кібербезпеки інформаційних систем сучасного підприємства та їх зміст.
Про сок и сием рассказать
8 Базові компоненти Sense Analytics Engine рішення IBM QRadar SIEM та їх призначення.
Використання Sense Analytics дає можливість проводити аналіз кореляції для виявлення найбільш серйозних загроз, атак і вразливостей в реальному часі. Це дає можливість фахівцям з кібербезпеки розставляти пріоритети і виділяти найбільш важливі інциденти з величезного потоку даних. Рішення автоматично реагує на інциденти і виконує нормативні вимоги за рахунок можливостей збору даних, визначення їх кореляції і складання звітності. Також передбачений прогнозний аналіз наявних ризиків, викликаних некоректним настроюванням пристроїв і відомими уразливими.
Пдф файл https://www.ibm.com/support/knowledgecenter/SS42VS_7.3.2/com.ibm.qradar.doc/c_qradar_comps2_deployment_guide.html
https://spro.com.ua/products/q1-labs/ibm-qradar-security-intelligence-platform
9 Склад, призначення та загальні функції компонентів IBM QRadar SIEM.
4 вопрос+лекция 3
10 Варіанти розгортання IBM QRadar SIEM, вимоги до програмних та апаратних засобів.
Архітектура IBM QRadar підтримує розгортання різних розмірів і топологій, від одного розгортання хоста, де всі програмні компоненти працюють в одній системі, до декількох хостів, де пристрої, такі як колектори подій , і потокові колектори , вузли даних , хост додатків, процесори подій та процесори потоку мають певні ролі.
Основна увага першого прикладу розгортання полягає в описі єдиного розгортання приладу All-in-One для середніх компаній. Пізніші приклади описують варіанти розгортання у міру розширення компанії. Приклади описують, коли потрібно додати компоненти QRadar, такі як процесори потоку, колектори подій та вузли даних, і коли вам знадобиться спільно знайти конкретні компоненти.
Вимоги до розгортання QRadar залежать від потужності обраного вами розгортання як для обробки, так і для зберігання всіх даних, які ви хочете проаналізувати у вашій мережі.
Перш ніж планувати розгортання, врахуйте наступні питання:
Як ваша компанія використовує Інтернет? Ви завантажуєте стільки, скільки завантажуєте? Збільшення використання може збільшити ваш вплив потенційних проблем безпеки.
Скільки подій в секунду (EPS) та потоків у хвилину (FPM) потрібно контролювати?
Потреби в ліцензії на EPS та FPM збільшуються в міру зростання розгортання.
Скільки інформації потрібно зберігати та на який термін?
слайд 23
На слайді показані компоненти QRadar, які ви можете використовувати для збору, обробки та зберігання даних про події та потоки у вашому розгортанні QRadar. Пристрій "все в одному" включає можливості збору, обробки, зберігання, моніторингу, пошуку, звітності та управління порушеннями.
Колектор подій збирають дані про події з джерел мережі, а потім передає дані про події на процесор подій. Колектор потоків збирає дані потоку від мережевих пристроїв, таких як SPAN порт, а потім передає ці дані в процесор потоку. Обидва процесори обробляють дані від колекторів та надають дані в консоль QRadar . Пристрої процесора можуть зберігати дані, але вони також можуть використовувати вузли даних для зберігання даних. Прилад QRadar Console використовується для моніторингу, пошуку даних, звітності, управління порушеннями та адміністрування вашого розгортання QRadar.