Продукт объединяет сетевые функции с функциями безопасности
Рынок систем для управления событиями, связанными с безопасностью сетей, пополнился новой версией продукта QRadar фирмы Q1 Labs, известной как поставщик средств обнаружения сетевых аномалий.
В QRadar 5.0 появились функции сбора, корреляции и анализа данных из разных источников - начиная со сканеров уязвимостей, брандмауэров и IDS (систем обнаружения вторжений) и заканчивая собственной технологией обнаружения сетевых аномалий QRadar. По словам руководства Q1 Labs, продукт представит администраторам детальную картину событий сетевой безопасности.
QRadar можно использовать в качестве одного универсального устройства, которое собирает и архивирует данные, поступающие от различных продуктов, и обеспечивает пользователям административный интерфейс. В крупной сети можно развернуть целую группу устройств QRadar, действующих по отдельности как специализированные коллекторы под управлением QRadar Management Server.
Прежние версии QRadar могли сигнализировать об определенных событиях, например о предупреждениях брандмауэров Cisco и Check Point и некоторых защитных устройств. В пятой версии разработчик расширил число распознаваемых QRadar событий безопасности и добавил модуль Judicial System Logic - реляционную подсистему, умеющую формировать заключения на основе анализа скоррелированных событий, данных об уязвимостях и потоков трафика.
| Живем с SIM |
|
Компании, поставляющие SIM-продукты: - ArcSight: платформа Enterprise Security Management. - NetForensics: nFX OSP (Open Security Platform). Технология NetForensics также перепродается Cisco под маркой CiscoWorks SIMS. - Network Intelligence: линейка аппаратных устройств, захватывающих и анализирующих протоколируемые события из сетевого и защитного оборудования. - NetIQ: NetIQ Security Manager, программный SIM-продукт с набором модулей для управления регистрационными журналами, данными об уязвимостях и событиями. |
Например, продукт может подать сигнал о компрометации компьютера исходя из того, что ранее он уже был мишенью атаки и в его среде появился новый сервис.
Благодаря объединению профилей аппаратно-программных ресурсов с данными о событиях безопасности QRadar 5.0 может идентифицировать элементы инфраструктуры, подвергающиеся риску или атаке, и определять приоритеты мер реагирования и использования встроенных в продукт функций коррекции.
По словам Кейта Кэнсела, заведующего информационными системами и сетевой безопасностью в корпорации CTC Communications, являющейся провайдером интегрированных сервисов связи, с помощью более ранней версии QRadar его компания смогла обнаружить аномальное поведение системы, инфицированной червем, который незамеченным проник через корпоративный брандмауэр.
Правда, новая версия QRadar не лишена ограничений. Она умеет собирать данные только от определенной группы устройств, например от сканера уязвимостей с открытым исходным кодом Nessus или продуктов фирмы nCircle Network Security.
Кэнсел высоко оценивает QRadar и новые SIM-функции (security incident management - управление событиями безопасности) пятой версии, которую CTC еще не развернула. "Теперь мы сможем собирать больше информации от различных устройств в корреляции с поведением сети и мониторингом аномалий - по нашему мнению, именно здесь зарыто золото".
QRadar 5.0 поставляется по стартовой цене 29 000 долл.
