محصولات متنوعی را امروزه به عنوان SIEM در دنیای مرکز عمليات امنیتی ( SoC ) میبینیم که یکی از آنها QRadar محصولی میباشد که توسط شرکت IBM ارائه شده است تا بتواند آسیب پذیری ها و آسیب های متنوع به سازمان را تاحد امکان کاهش دهد و جلوی آنهارا در بهترین زمان بگیرد. این محصول با دریافت اطلاعات متنوع از سمت دیوایس های درون شبکه شروع به تجزیه و تحلیل این اطلاعات میکند و با متصل شدن به سیستم ها و دیوایس های درون شبکه و دارای های سازمان و متصل شدن به پایگاه های امنیتی به صورت Real Time فعالیت های متنوع کاربر و اطلاعات مختلفی که از سیستم درحال عبور میباشند از جمله ارتباطات شبکه ایی را رصد میکند و رفتارها و حملات را تشخیص میدهد و یا جلوی آنهارا میگیرد.
بیشتر ببینید: کاملترین دوره آموزش SANS 560 | آموزش تست نفوذ شبکه
محصول IBM QRadar از ویژگی های متعددی برخوردار است که توانایی و تشخیص آنرا بالاتر میبرد از جمله این ویژگی های عبارتند از:
از این بابت ما به واسطه QRadar میتوانیم با هزینه کمتر و نیروانسانی کمتر در یک چشم به هم زدن تمامی فرآيند های تشخیص حملات و جلوگیری از حملات را به انجام برسانیم و در تمامی ساعات این فرآيند ها اعمال شوند و درسریع ترین زمان پاسخگویی به آنها داده شود.
ما به شکل های مختلفی میتوانیم از QRadar استفاده کنیم و راه های استقرار متنوعی در پیش روی ما میباشد، از این بابت ما میتواینم از QRadar به عنوان یک نرم افزار یا سخت افزار استفاده کنیم و یا به صورت یک نرم افزار مجازی آن را بر روی مجازی ساز های متنوع راه اندازی و نصب کنیم.
بیشتر ببینید: دوره آموزش تشخیص نفوذ | IDS / IPS
درواقع Event Processor ها برای جمع آوری اطلاعات و ذخیره و تجزیه تحلیل داده ها از ارسال کننده های داده میباشد که معماری اصلی این فرآيند هارا Event Processors تشکیل میدهد.
درواقع Event Processors و Flow Processors هردو به یک شکل عمل میکنند اما با این تفاوت که Flow Processors هدف آن دریافت و تجزیه و تحلیل داده های سمت شبکه میباشد اما Event Processors هدف آن دریافت و تجزیه و تحلیل داده های سیستمی میباشد.
حال بیاید یک نگاهی بر روی جنبه های مهم و متنوع در QRadar داشته باشیم که به شرح زیر میباشند:
اما به صورت کلی معماری IBM QRadar به سه بخش متنوع تقسیم بندی میشود و لازم به ذکر است که این ساختار برای تمامی ماژول های QRadar به یک شکل میباشد
در این لایه پس از دریافت کردن داده ها به واسطه لایه اول حال QRadar به واسطه یک سری قوانین در یک موتور تحت عنوان CRE یا همان Customer Rule Engine شروع به پردازش و کشف اشکالات و تخلفات متنوع در داده ها میکند و آنهارا درصورت پیدا کردن ذخیره میکند.
در این لایه QRadar پس از دریافت و تجزیه و تحلیل و پردازش داده ها توسط QRadar حالا توسط یک متخصص این داده ها میتوانند از طریق Console مدیریتی QRadar بررسی شوند و یا درون آنها جست و جو و مدیریت های متنوع انجام شود.
ابزار های مهم زیادی را در QRadar داریم که کمک زیادی در تجزیه و تحلیل داده ها به ما میکنند اما معروف ترین آنها به شرح زیر میباشند:
QRadar Vulnerability Manager: این ماژول یا بهتر بگویم این ابزار توانایی تجزیه و تحلیل و کشف آسیب پذیری های متنوع درون شبکه را به QRadar میدهد. ما به واسطه این ماژول توانایی کشف کردن حملات و آسیب پذیری و خطرات امنیتی درون شبکه را داریم.
QRadar Risk Manager: همانطور که از نام آن هم پیدا میباشد وظیفه این ماژول مدیریت Risk ها میباشد بدین شکل که پیکربندی و اطلاعات متنوع در رابطه با شبکه و تجهیزات شبکه را جمع آوری میکند و تمامی آنهارا به صورت سناریو محور و براساس Topology آنها برای ما نمایش میدهد.
QRadar Forensic Incident: به واسطه این ماژول ما میتوانیم فرآيند های عمیق کشف جرم و پزشکی قانونی دیجیتال را بر روی سطح شبکه خودمان داشته باشیم
بیشتر ببینید: کاملترین دوره آموزش کشف جرایم رایانه ای
به صورت خیلی کلی QRadar طراحی شده است که بتواند با دیگر محصولات شرکت IBM مانند Waston AI کارکند اما Splunk به صورت یک نرم افزار کاملا مستقل برای تعامل با اکثر اجزای یک سیستم طراحی شده است.