محصولات متنوعی را امروزه به عنوان SIEM در دنیای مرکز عمليات امنیتی ( SoC ) میبینید که یکی از آنها QRadar محصولی میباشد که توسط شرکت IBM ارائه شده است تا بتواند آسیب پذیری ها و آسیب های متنوع به سازمان را تاحد امکان کاهش دهد و جلوی آنهارا در بهترین زمان بگیرد. این محصول با دریافت اطلاعات متنوع از سمت دیوایس های درون شبکه شروع به تجزیه و تحلیل این اطلاعات میکند و با متصل شدن به سیستم ها و دیوایس های درون شبکه و دارای های سازمان و متصل شدن به پایگاه های امنیتی به صورت Real Time فعالیت های متنوع کاربر و اطلاعات مختلفی که از سیستم درحال عبور میباشند از جمله ارتباطات شبکه ایی را رصد میکند و رفتارها و حملات را تشخیص میدهد و یا جلوی آنهارا میگیرد.
محصول IBM QRadar از ویژگی های متعددی برخوردار است که توانایی و تشخیص آنرا بالاتر میبرد از جمله این ویژگی های عبارتند از:
- هوش مصنوعی ( Artificial Intelligence )
- یادگیری ماشین ( Machine Learning )
- تحلیل رفتارها ( Behavior Analytics )
از این بابت شما به واسطه QRadar میتوانید با هزینه کمتر و نیروانسانی کمتر در یک چشم به هم زدن تمامی فرآيند های تشخیص حملات و جلوگیری از حملات را به انجام برسانید و در تمامی ساعات این فرآيند ها اعمال شوند و درسریع ترین زمان پاسخگویی به آنها داده شود.
انواع حالت های استقرار ( Deployment ) محصول QRadar چیست؟
شما به شکل های مختلفی میتوانید از QRadar استفاده کنید و راه های استقرار متنوعی در پیش روی شما میباشد، از این بابت شما میتوایند از QRadar به عنوان یک نرم افزار یا سخت افزار استفاده کنید و یا به صورت یک نرم افزار مجازی آن را بر روی مجازی ساز های متنوع راه اندازی و نصب کنید.
مفهوم Event Processors در QRadar چیست؟
درواقع Event Processor ها برای جمع آوری اطلاعات و ذخیره و تجزیه تحلیل داده ها از ارسال کننده های داده میباشد که معماری اصلی این فرآيند هارا Event Processors تشکیل میدهد.
مفهوم Flow Processors در QRadar چیست؟
درواقع به واسطه Flow Processors در QRadar توانایی دریافت و جمع آوری اطلاعات و ارتباطات لایه 4 مدل OSI یعنی Transport Layer را به خوبی دارید. ترافیک های لایه Application نیز یعنی لایه 7 مدل OSI به واسطه QFlow تجزیه و تحلیل و بازرسی میشوند که این فرآيند یک فرآيند Deep Packet Inspection برای تجزیه و تحلیل دقیق بسته ها در این لایه میباشد.
تفاوت Event Processors و Flow Processors در چیست؟
درواقع Event Processors و Flow Processors هردو به یک شکل عمل میکنند اما با این تفاوت که Flow Processors هدف آن دریافت و تجزیه و تحلیل داده های سمت شبکه میباشد اما Event Processors هدف آن دریافت و تجزیه و تحلیل داده های سیستمی میباشد.
مهم ترین جنبه های IBM QRadar چیست؟
حال نگاهی بر روی جنبه های مهم و متنوع در QRadar خواهیم کرد که به شرح زیر میباشند:
- Log Activity: در هر زمان شما توانایی دسترسی به رویداد متنوع درون شبکه را دارید و به راحتی میتوانید آنهارا بررسی کنید و در آنها سرچ کنید
- Network Sessions: تمامی Session ها و ارتباطات میان دو کامپیوتر قابل دیدن و رصد هستند.
- Web Browser: در هنگام استفاده از QRadar از مروگر های پشتیبانی شده و پیشنهاد شده توسط IBM برای این محصول استفاده کنید
- Crime: تمامی جرایم توسط QRadar قابل بررسی و مشاهده میباشند.
- Reports: در QRadar امکان تهیه گزارشات مختلفی وجود دارد.
- Data Collection: در QRadar توانایی جمع آوری اطلاعات از طیف وسیعی از تجهیزات و دیوایس ها و نرم افزار ها از جمله نرم افزار های اسکن امنیتی وجود دارد.
معماری IBM QRadar چگونه است؟
درواقع IBM QRadar Security یک نرم افزار ماژولار میباشد و توانایی ادغام سازی و نصب ماژول ها و نرم افزار های زیاد را بر روی خود دارد که اکثر اینها توسط خوده IBM برای QRadar ارائه شده اند که عبارتند از:
- QRadar Vulnerability Manager
- QRadar Risk Manager
- QRadar Incident Forensics
اما به صورت کلی معماری IBM QRadar به سه بخش متنوع تقسیم بندی میشود و لازم به ذکر است که این ساختار برای تمامی ماژول های QRadar به یک شکل میباشد
لایه اول در معماری QRadar – جمع آوری اطلاعات ( Data Collection )
در این لایه از QRadar وظیفه جمع آوری کردن اطلاعات متنوع سیستم ها و ارتباطات شبکه بر روی QRadar میباشد و اینکار را به واسطه دو Processors متنوع یعنی QFlow و Event به انجام میرساند که این دو با نام های دیگری مانند Event Collector و QFlow Collector نیز شناخته میشوند. به واسطه Event Collector شما در QRadar توانایی دریافت و تجزیه و تحلیل اطلاعات سیستمی را دارید و به واسطه QFlow Collector شما توانایی رصد و دریافت و تجزیه و تحلیل ترافیک شبکه ایی را دارید
لایه دوم در معماری QRadar – پردازش داده ها ( Data Processing )
در این لایه پس از دریافت کردن داده ها به واسطه لایه اول حال QRadar به واسطه یک سری قوانین در یک موتور تحت عنوان CRE یا همان Customer Rule Engine شروع به پردازش و کشف اشکالات و تخلفات متنوع در داده ها میکند و آنهارا درصورت پیدا کردن ذخیره میکند.
لایه سوم در معماری QRadar – جست و جو در داده ها ( Data Searches )
در این لایه QRadar پس از دریافت و تجزیه و تحلیل و پردازش داده ها توسط QRadar حالا توسط یک متخصص این داده ها میتوانند از طریق Console مدیریتی QRadar بررسی شوند و یا درون آنها جست و جو و مدیریت های متنوع انجام شود.
ابزار های مهم در QRadar چیست؟
ابزار های مهم زیادی را در QRadar داریم که کمک زیادی در تجزیه و تحلیل داده ها به شما میکنند اما معروف ترین آنها به شرح زیر میباشند:
QRadar Vulnerability Manager: این ماژول یا بهتر بگویید این ابزار توانایی تجزیه و تحلیل و کشف آسیب پذیری های متنوع درون شبکه را به QRadar میدهد. ما به واسطه این ماژول توانایی کشف کردن حملات و آسیب پذیری و خطرات امنیتی درون شبکه را دارید.
QRadar Risk Manager: همانطور که از نام آن هم پیدا میباشد وظیفه این ماژول مدیریت Risk ها میباشد بدین شکل که پیکربندی و اطلاعات متنوع در رابطه با شبکه و تجهیزات شبکه را جمع آوری میکند و تمامی آنهارا به صورت سناریو محور و براساس Topology آنها برای ما نمایش میدهد.
QRadar Forensic Incident: به واسطه این ماژول شما میتوانید فرآيند های عمیق کشف جرم و پزشکی قانونی دیجیتال را بر روی سطح شبکه خودتان داشته باشید
تفاوت QRadar و Splunk چیست؟
به صورت خیلی کلی QRadar طراحی شده است که بتواند با دیگر محصولات شرکت IBM مانند Waston AI کارکند اما Splunk به صورت یک نرم افزار کاملا مستقل برای تعامل با اکثر اجزای یک سیستم طراحی شده است.