QRadar® is meer dan een gewoon SIEM. QRadar bestaat uit een aantal subproducten die met elkaar geïntegreerd samenwerken. Dit zijn QRadar Vulnerability Manager, QRadar SIEM en QRadar Risk Manager.
De SIEM Vulnerability Manager kan in een netwerk vaststellen welke devices/host vatbaar zijn voor aanvallen omdat ze zwakheden bezitten. Dit kan vastgesteld worden met een vulnerability scanner. De assets in het netwerk worden hiermee een risico-score toebedeeld.
Ten aanzien van de zwakheden die assets hebben kan QRadar SIEM vervolgens vaststellen of er activiteiten op het IT-Netwerk plaatsvinden die deze zwakheden proberen te uit te nutten om te misbruiken. Het QRadar SIEM systeem kan hiermee het risico dat gedetecteerd is door de QRadar Vulnerability Manager naar boven of naar beneden bijstellen.
Verder is er nog de QRadar Risk Manager. De QRadar Risk Manager kan de configuratiebestanden van firewalls en switches uitlezen en vaststellen of er bepaalde poorten openstaan en of er dus paden bestaan door het netwerk waarmee aanvallers bij de assets kunnen komen die zwakheden hebben. De QRadar Risk Manager kan de risicoscore die allereerst door de QRadar Vulnerability Manager is vastgesteld en daarna gecorrigeerd is door het QRadar SIEM systeem nogmaals aanpassen.
Hiermee weet QRadar op een geïntegreerde manier vast te stellen welke security incidenten in het netwerk met prioriteit behandeld moeten worden. QRadar kan dagelijks uit de brei van vele miljoenen of honderden miljoenen activiteiten die op een netwerk dagelijks plaatsvinden precies bepalen welke incidenten met prioriteit aandacht verdienen van de security analisten.
Pieter Nierop
www.q-musketeers.com
