Examen et alternatives QRadar SIEM
QRadar SIEM est l'un des systèmes de cyberdéfense leaders à la disposition des entreprises aujourd'hui. L'outil a une longue histoire car il a été l'un des premiers systèmes SIEM disponibles.
Suite à son développement par un cabinet spécialisé en cybersécurité, Laboratoires du premier trimestre , QRadar est désormais un atout du conglomérat informatique IBM. Le passage d'un fournisseur de sécurité de niche à une grande multinationale a inévitablement eu un impact sur la visibilité de QRadar.
Alors que les systèmes SIEM étaient autrefois nouveaux et avant-gardistes, ils sont désormais devenus un outil de sécurité grand public dont toute entreprise disposant d'une infrastructure informatique doit disposer. Que fournit exactement un système SIEM ? Comment fonctionnent ces systèmes ?
Les faits sur SIEM
Les systèmes SIEM ne constituent pas la première ligne de défense du système informatique d’une entreprise. Ce ne sont pas des services périmétriques. Au lieu de cela, un SIEM vise à éliminer les comportements suspects effectués par des utilisateurs apparemment légitimes. SIEM recherche également des activités autour de son matériel et de ses services qui semblent donner l'impression que quelqu'un les a piratés, modifié leurs paramètres ou falsifié des fichiers.
Les systèmes SIEM ont été créés pour contrer une stratégie de hacker appelée « Menace persistante avancée » (APT). Lorsque les APT ont été découvertes pour la première fois, il s’est avéré que ces intrusions n’étaient pas nouvelles. Ces accès de pirates informatiques se produisaient en réalité depuis des années. Les pirates avaient trouvé un moyen d'obtenir un accès constant à volonté, d'utiliser les ressources de l'entreprise, d'accéder aux données sans détection et d'observer les transactions commerciales.
Les intrus qui transfèrent une grande quantité de données hors du système sont faciles à repérer. Ceux qui utilisent régulièrement la passerelle des entreprises victimes comme proxy de protection sont plus difficiles à repérer.
SIEM signifie Gestion des informations de sécurité et des événements . Le terme est une fusion de deux méthodologies de sécurité préexistantes : SIM et SEM. SIM signifie Gestion des informations de sécurité . Il vérifie les informations stockées dans les fichiers journaux à la recherche de signes d'intrusion. SEM signifie Gestion des événements de sécurité et il surveille les événements en temps réel, en particulier le trafic réseau.
Le problème avec SEM est qu’il ne voit qu’une série d’instantanés. Il ne peut pas détecter les pirates qui détournent les comptes d’utilisateurs existants. Le problème avec SIM est qu’il ne détecte les failles de sécurité qu’après coup. Le SIEM est une deuxième ligne de défense. Sa philosophie est qu’il est préférable d’attraper les intrus tardivement plutôt que de ne jamais les attraper du tout.
L'histoire de QRadar
QRadar a été créé par Q1 Labs au début de ce siècle. Initialement, l’outil était un moteur de détection d’anomalies, évoluant vers un système de détection d’intrusion (IDS). Les SIEM sont une forme d’IDS. La stratégie derrière SIEM consiste à rechercher un comportement inhabituel sur le système, appelé anomalie.
Dans la version 4 de QRadar, il était devenu un « Système de prévention des intrusions » (IPS). La particularité d’un IPS est qu’il est capable d’agir pour bloquer toute intrusion qu’il détecte. Cela se fait généralement en interagissant avec un pare-feu et en modifiant ses règles pour bloquer des adresses IP externes spécifiques. D'autres actions qu'un IPS peut entreprendre incluent la suspension des comptes d'utilisateurs dans Active Directory.
En 2010, Q1 Labs a relooké QRadar en tant que « plateforme de renseignement de sécurité » ou un « système d’exploitation de renseignement de sécurité ». À ce stade, Q1 Labs utilisait le terme « SIEM » pour décrire le composant principal de la plateforme de renseignement de sécurité.
IBM a acheté Q1 Labs vers la fin de 2011. Il s'agissait d'un moyen plus rapide et plus économique pour l'entreprise de créer un IBM SIEM. IBM a reconnu qu'il faudrait des années pour établir une place crédible sur le marché SIEM et acheter le très apprécié Q1 Labs était un meilleur plan.
IBM a été tellement impressionné par la stratégie de Q1 Labs qu'il a rebaptisé l'entreprise IBM Security Systems Division et y a injecté des fonds. IBM a amélioré le label « plate-forme de renseignement de sécurité » et a axé la commercialisation de QRadar sur une suite de produits incluant QRadar SIEM.
Fonctionnalités QRadar SIEM
SIEM est une approche multistratégie de la sécurité des systèmes. Ainsi, comme tout SIEM, le SIEM IBM QRadar est une suite de modules. Dans un contexte plus large, IBM commercialise également sa Security Intelligence Platform, qui ajoute d'autres fonctionnalités de cybersécurité, comme la réponse automatisée.
Étonnamment, contrairement aux systèmes SIEM concurrents, QRadar SIEM n’inclut pas l’analyse du comportement des utilisateurs et des entités (UEBA). Dans le service IBM, il s'agit d'un module distinct sur QRadar Security Intelligence Platform.
Découverte d'actifs
Un découverte automatique La fonction de QRadar SIEM traque tous les appareils connectés au réseau et crée un inventaire. Cette liste d'équipements est ensuite disponible dans les écrans Actifs du tableau de bord. L'écran enregistre les activités de tous les équipements dans un résumé et permet d'examiner l'activité sur chaque appareil individuel.
Analyse des vulnérabilités
QRadar SIEM vérifie chaque périphérique par rapport à une liste de contrôle de vulnérabilités connues . Les résultats de ces analyses de vulnérabilité sont affichés dans les écrans Actifs avec des alertes pour les problèmes qui doivent être résolus afin de renforcer le système contre les attaques.
Gestion des journaux
QRadar SIEM extrait les messages de journal de tous les points d'un système informatique. Presque tous les logiciels génèrent des messages de journal. Une partie du problème réside dans le fait qu'il est impossible de vérifier chaque magasin de fichiers journaux à une fréquence significative.
La partie SIM de QRadar SIEM agit comme un serveur de journaux , collectant tous les messages de journal disponibles et les stockant dans un emplacement central. Tous les formats de journaux sont réorganisés dans une structure commune, ce qui permet de rechercher des modèles dans tous ensemble. C'est appelé consolidation des journaux .
Tous les messages de journal sont instantanément reformatés, transitent par le serveur de journaux et peuvent être consultés immédiatement dans le tableau de bord QRadar. Les enregistrements stockés peuvent être rappelés dans la visionneuse du tableau de bord pour analyse.
Activité réseau
Le tableau de bord QRadar comprend un écran Activité réseau, qui affiche les données en direct du trafic transitant par le système. Données de trafic est également analysé à la recherche d'anomalies, déclenchant des alertes lorsqu'une activité suspecte est détectée. Le moniteur réseau envoie également des données de trafic au serveur de journaux afin qu'elles puissent être incluses dans l'analyse historique.
Règles QRadar SIEM
La base de règles de QRadar SIEM est le moteur de détection du système. Cela recherche automatiquement des modèles dans les messages de journal collectés pour identifier les anomalies et relier les chaînes d'événements. Cela permet au service d'identifier les intrusions effectuées à l'aide d'une série d'actions qui, autrement, ressembleraient à des activités normales dans l'entreprise.
Infractions
Les anomalies détectées par QRadar SIEM sont appelées « infractions .» Ceux-ci sont affichés dans les écrans Offense Overview et Offense Details du tableau de bord. Le système relie différents événements trouvés dans les fichiers journaux et liés à une seule infraction via chaînes d'attaque .
Rapports
Le système QRadar SIEM comprend une bibliothèque de formats de rapport pré-écrits. Cependant, il est également possible pour les clients de rédiger leurs propres présentations de rapport au sein du système.
Options de configuration QRadar SIEM
QRadar est disponible sous forme de service basé sur le cloud ou pour une installation sur site. La version sur site fonctionne comme une appliance virtuelle et comprend son propre système d'exploitation afin qu'elle puisse être installée sur n'importe quel serveur.
Tableau de bord
Les gestionnaires système accèdent au tableau de bord via n'importe quel navigateur Web standard. Les écrans du tableau de bord QRadar SIEM ont un arrière-plan noir et du texte blanc ou gris. Ce schéma est idéal pour faire ressortir les graphiques colorés sur les écrans, mais il rend le texte difficile à lire. Par exemple, voici une vue de l'écran Aperçu de l'événement, qui contient beaucoup de texte.
Les écrans peuvent fatiguer les yeux. Cependant, ils sont bien organisés et les écrans de présentation mènent aux écrans de détails en cliquant sur un enregistrement. Voici l’écran Aperçu de l’infraction.
Un clic sur l'un des enregistrements du tableau en bas de l'écran permet d'accéder aux détails de cet enregistrement.
En général, les écrans de détails sont plus faciles à lire que les écrans de présentation.
Atténuation des attaques
IBM propose une atténuation automatisée des attaques via son système SOAR. SOAR signifie « Orchestration, automatisation et réponse de la sécurité « Cette évolution des fonctionnalités IPS de QRadar qui coupe automatiquement les chemins d'attaque s'appelle IBM résilient .
QRadar transmet les comportements anormaux détectés à Resilient, qui implémente des règles pour bloquer ces activités.
Rapports de conformité
IBM produit des extensions de contenu qui adaptent le système QRadar SIEM pour se conformer aux normes de sécurité des données spécifiques. Ces adaptations incluent l'adaptation aux normes PCI DSS, SOX, GDPR et HIPAA.
Les meilleures alternatives à IBM QRadar
QRadar SIEM est l'un des meilleurs systèmes SIEM disponibles, mais ce n'est pas le seul SIEM de qualité à prendre en compte. L'une des premières fonctionnalités de QRadar était sa capacité à permettre aux clients de prouver leur conformité aux normes de gestion des données telles que SOX et PCI DSS. Une autre fonctionnalité dans laquelle QRadar excelle est son automatisation de la réponse aux incidents (maintenant dans un module distinct), qui a évolué à partir des incarnations précédentes du SIEM en tant qu'IPS. Il existe d'autres outils qui ont des capacités égales.
Si vous souhaitez essayer le système QRadar SIEM, vous pouvez accéder à un Essai gratuit de 14 jours sur le site Web d'IBM.
Comme pour la plupart des systèmes SIEM, QRadar est un bon gestionnaire de journaux ainsi qu'un système de sécurité. Cette fonctionnalité correspond aux alternatives à IBM SIEM qui apparaissent dans la liste suivante.
Pour en savoir plus sur SIEM et les meilleurs systèmes concurrents du marché, jetez un œil à notre article sur le b est les outils SIEM . Alternativement, si vous souhaitez externaliser le travail et employer une équipe d'experts SIEM, consultez le services SIEM les mieux gérés poste. Si vous n'avez pas le temps de lire ce guide, voici les dix meilleures alternatives à QRadar SIEM.
Voici notre liste des meilleures alternatives à IBM QRadar :
- SolarWinds Security Event Manager CHOIX DE L'ÉDITEUR Outil SIEM du leader du marché des outils de gestion d'infrastructure informatique, ce logiciel de sécurité peut être calibré pour se conformer à de nombreuses normes de sécurité des données et comprend également une réponse automatisée aux incidents. Ce logiciel s'installe sur Windows Server.
- Analyseur de journaux d'événements ManageEngine (ESSAI GRATUIT) Un service SIM qui fait partie d'une suite d'outils de surveillance de l'infrastructure. SEM peut être fourni en ajoutant ManageEngine OpManager. Il s'installe sur Windows et Linux. Démarrez un essai gratuit de 30 jours.
- Surveillance de la sécurité Datadog Un gestionnaire de journaux de surveillance de sécurité et SIEM qui est un module d'un package de surveillance du système avec des alertes. Les programmes d'agent s'installent sur site pour ce système basé sur le cloud.
- Gestionnaire de sécurité McAfee Enterprise Un SIEM très apprécié qui inclut la gestion des journaux et la surveillance du trafic en direct. Ce système est particulièrement performant sur la gestion Active Directory. Il s'installe sur Windows et macOS.
- Fortinet FortiSIEM Un système SIEM avancé fourni depuis le cloud. Les appareils surveillés nécessitent l'installation de programmes d'agent pour bénéficier d'une stratégie de détection multi-vecteurs et de réponses de défense automatisées.
- Rapid7 InsightIDR Un service de sécurité basé sur le cloud qui nécessite l'installation du logiciel agent de surveillance des appareils sur site. Il est facile à installer et inclut une atténuation automatisée des menaces.
- OSSEC Un IDS gratuit et open source avec un accent particulier sur l'analyse des journaux. Il s'agit spécifiquement d'une carte SIM, mais elle peut être étendue pour devenir un SIEM complet en alimentant les données de trafic réseau en direct provenant d'autres packages de surveillance. Il s'installe sur Windows, macOS, Linux et Unix.
- Plateforme SIEM LogRhythm NextGen Utilise des méthodes d'IA pour l'analyse du trafic et des journaux. Le progiciel comprend des guides d'utilisation détaillés. Il s'installe sur Windows et Linux.
- AT&T Cybersecurity Gestion unifiée de la sécurité AlienVault Il s'agit d'un rival majeur de QRadar SIEM et possède une expérience similaire : développé de manière indépendante et racheté par une grande multinationale. Il fonctionne sous Windows et macOS.
FAQ QRadar SIEM
Comment QRadar SIEM utilise-t-il vmprotocol ?
QRadar propose deux types de virtualisation. Il est présenté comme un package SaaS sur le cloud avec une structure de compte qui utilise des machines virtuelles pour séparer les comptes afin qu'un client ne puisse pas accéder au compte d'un autre via le système d'exploitation. L'autre option consiste à installer le logiciel QRadar en tant que dispositif virtuel. Il s'agit du propre protocole VM d'IBM qui contient un système d'exploitation.
Comment connecter le service cloud à QRadar SIEM ?
Vous devez installer un agent sur le service cloud que QRadar doit surveiller. Ils sont appelés packs de contenu et sont accessibles depuis le marché de chaque plateforme, comme AWS et Azure. Un guide pour ce processus est disponible sur la plateforme QRadar.
Quelle est la différence entre QRadar et Splunk ?
QRadar est une propriété d'IBM et Splunk est un produit d'une société distincte, appelée Splunk, Inc. Il ne s'agit pas de deux produits directement concurrents car Splunk est un outil d'analyse de données, tandis que QRadar n'exécute qu'une fonction SIEM. Cependant, Splunk peut être amélioré par un produit payant, appelé Splunk Enterprise Security. Celui-ci est centré sur un SIEM et constitue un rival direct de QRadar.