38. Основні функції ibm qRadar siem щодо даних про потоки та їх зміст.
Потоки QRadar представляють собою мережеву активність, нормалізуючи дані IP-адреси, порти, кількість байт і пакетів, а також інші дані, в запису потоку, які ефективно представляють собою записи мережевих сеансів між двома хостами. Компонент в QRadar, який збирає і створює інформацію про потік, відомий як QFlow.
Збір у QRadar Flow не є повним захопленням пакетів. Для мережевих сеансів, які охоплюють кілька часових інтервалів (хвилин), потоковий конвеєр повідомляє про записи в кінці кожної хвилини поточні дані для таких показників, як байти і пакети. Ви можете побачити кілька записів (за хвилину) в QRadar з тим же «First Packet Time», але значення «Last Packet Time» збільшуються в часі.
Потік починається, коли колектор потоку виявляє перший пакет, який має унікальну IP-адресу джерела, IP-адресу призначення, порт джерела, порт призначення і інші параметри протоколу.
Кожен новий пакет оцінюється. Кількість лічильників і пакетів додається до статистичних лічильників в запису потоку. В кінці інтервалу запис стану потоку відправляється в процесор потоку, а статистичні лічильники для потоку скидаються. Потік закінчується, коли активність потоку не виявлена протягом встановленого часу.
QFlow може обробляти потоки з наступних внутрішніх або зовнішніх джерел:
Зовнішніми джерелами є джерела потоку, такі як Netflow, Sflow, Jflow. Зовнішні джерела можуть бути відправлені в виділений колектор потоку або в процесор потоку, такий як пристрій обробки потоку QRadar 1705. Зовнішні джерела не вимагають такої обробки процесора, тому що кожен пакет не обробляється для створення потоків. У цій конфігурації, ви можете мати спеціальний Flow Collector і Flow Processor, який як отримувати і створювати дані потоку. У невеликих середовищах (менше 50 Мбіт/с) пристрій All-in-One може здійснювати всю обробку даних.
Flow Collector збирає внутрішні потоки шляхом підключення до SPAN порту або мережевого ТАР. QRadar QFlow колектор 1310 може пересилати повні пакети від його карти захоплення до пристрою захоплення пакетів, але це не повний захват пакетів, як такий.
Генерація потоків
Flow Collector генерує дані потоку з сирих пакетів, зібрані з портів монітора, таких як SPANs, TAPs and monitor sessions, або від зовнішніх джерел потоків, таких як NetFlow, SFlow, JFlow. Потім ці дані перетворюються в формат потоку QRadar і відправляються для обробки.
Flow Processor виконує наступні функції:
Дедуплікація потоку – це процес, який видаляє повторювані потоки, коли кілька колекторів потоку надають дані пристроїв Flow Processors.
Асиметрична рекомбінація – реалізація функції об'єднання двох сторін кожного потоку, коли дані надаються асиметрично. Цей процес може розпізнавати потоки з кожного боку і об'єднувати їх в один запис. Однак іноді існує тільки одна сторона потоку.
Ліцензійне регулювання (за встановленими даними) – контролює кількість вхідних потоків в систему для управління чергами введення і ліцензуванням (за встановленими лімітами).
Forwarding (передача) – застосовує правила маршрутизації для системи, такі як відправка даних потоку на зовнішні цілі, зовнішні системи Syslog, JSON і інші SIEM системи.
39. Поняття кореляційне правило та його роль в IBM QRadar SIEM. Призначення механізму користувальницьких правил (Custom Rule Engine, СRE). Місце СRE в функціональній схемі IBM QRadar SIEM.
28 вопрос 8 лекция
Механізм користувальницьких правил (CRE) перевіряє кожну подію або потік по всіх включених правилах. Відповідні правила можуть мати відповіді або результати. Наприклад, відповідне правило може ініціювати створення порушення або створити нову подію CRE, яке ініціює створення порушення. Однак фактичні порушення не створюються тут на Процесорі подій, а скоріше на Консолі.
Можливо, що кілька узгоджених подій, потоків і відповідних правил можуть співвідноситися (корелюватися) один з одним в одне порушення. З іншого боку, одна подія або потік також можуть бути пов’язані (зкорельованими) з декількома порушеннями.
40. Порядок застосування кореляційних правил в IBM QRadar SIEM.
41. Типи кореляційних правил в IBM QRadar SIEM та їх зміст.
42. Форми кореляційних правил в IBM QRadar SIEM та їх зміст.
Форми есть типы наверное хз чел такого нема тупо, че по кайфу то и делай.
43. Призначення та особливості рішення IBM QRadar Risk Manager.
44. Основні функції IBM QRadar Risk Manager та їх зміст.
45. Призначення та особливості рішення IBM QRadar on Cloud.
46. Основні функції IBM QRadar on Cloud та їх зміст.
47. Особливості розгортання та можливості рішення IBM QRadar on Cloud.
48.. Призначення користувальницького інтерфейсу системи IBM QRadar SIEM та його зміст. Можливості щодо керування користувальницьким інтерфейсом системи IBM QRadar SIEM.