次世代SIEMソリューション
QRadar

セキュリティ・インテリジェンスとアナリティクス

セキュリティ・インテリジェンスとアナリティクス QRadar

QRadarとは

QRadarは、ネットワークに分散するさまざまな機器のイベントログ、セキュリティログに加え、ネットワークのアクティビティーと振舞いを統合し、リアルタイムに相関分析を行うことで脅威を検知し、ビジネスへの影響に応じた優先順位を付けてアラートします。従来では、膨大なログの中から人手では見つけることができなかった攻撃や、機器単体のログからは検出できなかった攻撃を検知します。
アラートが上がった攻撃については、攻撃のターゲット、攻撃された時間、資産の価値、脆弱性の状態、問題となるユーザーの ID、攻撃者のプロファイル、アクティブな脅威、過去の攻撃の記録などの詳細情報等をドリルダウンして確認することが可能となり、セキュリティ担当者は即座に対策の検討/実施が行えます。

QRadarとは

QRadarの特長

膨大なログ情報から、潜在的な脅威や 不正を解析・予測

人手では分析が困難な膨大な情報を相関分析をしながらルールに基づいて絞り込んでいき、本当に疑わしいインシデントを自動的に検出します。

社外からの攻撃や社内の不正状況をリアルタイムに可視化

攻撃のターゲット、攻撃された時間、資産への影響が瞬時にわかるため、迅速な対策を可能にします。

QRadarのインシデント詳細画面

知見を生かしたルール、検索パターン を製品に装備

QRadarは世界有数のセキュリティ研究機関X-Force®を有するIBMの知見が盛り込まれた350種類以上のルールと1000種類以上の検索パターンとレポートを提供しています。
従来のログ管理製品導入時に行っていた相関ルールの検討/設計/作成/検証の作業を大幅に削減できます。

QRadarのインシデント詳細画面
振る舞い検知 DB接続が異常に多いホスト、海外からのリモート接続、複数のFWでDenyされるホスト、高いイベント発生率
認証 連続したログイン失敗後のログイン成功、退職者のアカウントでのログイン失敗、スキャン後のログイン成功
Exploit 検出された攻撃に対して脆弱性があるホスト、攻撃の後にFW許可、攻撃後15分後以内の疑わしい挙動イベント
D/Dos 一定時間に大量のパケットを送信しているローカルのホスト、数千以上の外部IPアドレスから社内への通信の発生
ボットネット 潜在的なボットネットへの接続、既知のボットネットC&Cとの通信
コンプライアンス 監査サービスへの変更、信頼度の低いネットワークから高いネットワークへの通信
データベース 複数の場所からの同時ログイン、リモート・ホストからのグループの設定変更
マルウェア リモートへのマルウェア通信の検出、不正なDNSサーバとの通信
ポリシー P2Pの利用、脆弱性が残っているホストの通信、平文通信プロトコルの利用
調査 リモートからのTCPスキャン、ローカル・ネットワーク内でのDNSスキャン
疑わしい挙動 コンシューマー機器検出、短時間の特定ポートによる複数ホストへの通信
VMware VMware環境における異常性の高いゲストOSの挙動、イベントの監視(ゲストOSの作成、削除、クローン、スナップショット監視)
ワーム 一定時間内のSMTP通信、一定時間内に多数のホストとの通信
X-Force® X-Force®の脅威情報(IPレピュテーション)に適合するIP通信の検知(ボットネット、AnonymousProxyなど)

QRadar製品群

QRadar製品群

従来SIEM製品との違い

従来のSIEM製品では、イベントログやセキュリティログを蓄積、管理、分析を行いますが、QRadarはイベントログやセキュリティログに加え、ネットワークトラフィック情報をリアルタイムに収集し、自動的に正規化し、ルールに基づいて分析を行います。

QRadarの位置づけ

このソリューションに関するお問い合わせ

Webでのお問い合わせ

お電話でのお問い合わせ

tel0120-934-863平日9:00~17:00 ※弊社休業日を除く