क्यूराडार सिएम समीक्षा और विकल्प
QRadar SIEM इनमें से एक है अग्रणी साइबर रक्षा प्रणालियाँ आज व्यवसाय के लिए उपलब्ध है। इस उपकरण का एक लंबा इतिहास है क्योंकि यह उपलब्ध पहले एसआईईएम सिस्टमों में से एक था।
एक विशेषज्ञ साइबर सुरक्षा फर्म द्वारा इसके विकास के बाद, Q1 लैब्स , क्यूराडार अब आईटी समूह आईबीएम की एक संपत्ति है। एक विशिष्ट सुरक्षा प्रदाता से बड़े बहुराष्ट्रीय कंपनी में स्वामित्व बदलने से QRadar की दृश्यता पर अनिवार्य रूप से प्रभाव पड़ा है।
जबकि एसआईईएम सिस्टम एक समय नवीन और अत्याधुनिक थे, अब वे एक मुख्यधारा सुरक्षा उपकरण बन गए हैं जो आईटी बुनियादी ढांचे वाले प्रत्येक व्यवसाय के लिए आवश्यक है। सिएम प्रणाली वास्तव में क्या प्रदान करती है? ये सिस्टम कैसे काम करते हैं?
सिएम के बारे में तथ्य
एसआईईएम सिस्टम किसी व्यवसाय की आईटी प्रणाली के लिए रक्षा की पहली पंक्ति नहीं हैं। वे परिधि सेवाएँ नहीं हैं. इसके बजाय, एक एसआईईएम का उद्देश्य प्रतीत होता है कि वैध उपयोगकर्ताओं द्वारा किए गए संदिग्ध व्यवहार को दूर करना है। एसआईईएम अपने हार्डवेयर और सेवाओं के आसपास की गतिविधियों की भी तलाश करता है जिससे ऐसा लगता है कि किसी ने उन्हें हैक कर लिया है, उनकी सेटिंग्स बदल दी हैं, या फाइलों के साथ छेड़छाड़ की है।
'' नामक हैकर रणनीति का मुकाबला करने के लिए एसआईईएम सिस्टम बनाए गए थे। उच्च दर का लगातार खतरा (एपीटी)। जब एपीटी को पहली बार उजागर किया गया, तो घुसपैठ कोई नई बात नहीं थी। वे हैकर एक्सेस घटनाएँ वास्तव में वर्षों से घटित हो रही थीं। हैकर्स ने अपनी इच्छानुसार निरंतर पहुंच हासिल करने, कंपनी के संसाधनों का उपयोग करने, बिना पता लगाए डेटा तक पहुंचने और व्यावसायिक लेनदेन का निरीक्षण करने का एक तरीका ढूंढ लिया था।
सिस्टम से बड़ी मात्रा में डेटा स्थानांतरित करने वाले घुसपैठियों को पहचानना आसान होता है। जो लोग पीड़ित कंपनियों के गेटवे को नियमित आधार पर परिरक्षण प्रॉक्सी के रूप में उपयोग करते हैं, उन्हें पहचानना कठिन होता है।
सिएम का मतलब है सुरक्षा सूचना और इवेंट प्रबंधन . यह शब्द दो पूर्व-मौजूदा सुरक्षा पद्धतियों का एक समामेलन है: सिम और एसईएम। सिम का मतलब है सुरक्षा सूचना प्रबंधन . यह घुसपैठ के संकेतों के लिए लॉग फ़ाइलों में संग्रहीत जानकारी की जाँच करता है। SEM का मतलब है सुरक्षा इवेंट प्रबंधन और यह वास्तविक समय की घटनाओं, विशेषकर नेटवर्क ट्रैफ़िक को देखता है।
SEM के साथ समस्या यह है कि यह केवल स्नैपशॉट की एक श्रृंखला देखता है। यह मौजूदा उपयोगकर्ता खातों को हैक करने वाले हैकरों का पता नहीं लगा सकता है। सिम के साथ समस्या यह है कि यह केवल तथ्य के बाद ही सुरक्षा उल्लंघनों का पता लगाता है। सिएम रक्षा की दूसरी पंक्ति है। इसका दर्शन यह है कि घुसपैठियों को कभी न पकड़ने से बेहतर है कि उन्हें देर से पकड़ा जाए।
QRadar का इतिहास
QRadar को इस सदी के शुरुआती वर्षों में Q1 लैब्स द्वारा बनाया गया था। प्रारंभ में, उपकरण एक विसंगति का पता लगाने वाला इंजन था, जो एक घुसपैठ जांच प्रणाली (आईडीएस) में विकसित हुआ। एसआईईएम आईडीएस का एक रूप हैं। एसआईईएम के पीछे की रणनीति सिस्टम पर असामान्य व्यवहार पर ध्यान देना है, जिसे विसंगति कहा जाता है।
QRadar के संस्करण 4 तक, यह '' के रूप में विकसित हो गया था। अनाधिकृत प्रवेश निरोधक प्रणाली (आईपीएस)। आईपीएस की विशिष्ट विशेषता यह है कि यह किसी भी घुसपैठ का पता लगाने पर उसे रोकने के लिए कार्रवाई करने में सक्षम है। यह आमतौर पर फ़ायरवॉल के साथ इंटरैक्ट करने और विशिष्ट बाहरी आईपी पते को ब्लॉक करने के लिए इसके नियमों को बदलने के माध्यम से होता है। अन्य कार्रवाइयां जो एक आईपीएस कर सकता है उनमें सक्रिय निर्देशिका में उपयोगकर्ता खातों को निलंबित करना शामिल है।
2010 में, Q1 लैब्स ने QRadar को ' सुरक्षा खुफिया मंच या 'सुरक्षा ख़ुफ़िया ऑपरेटिंग सिस्टम।' इस बिंदु तक, Q1 लैब्स सुरक्षा खुफिया प्लेटफ़ॉर्म में मुख्य घटक का वर्णन करने के लिए 'SIEM' शब्द का उपयोग कर रहा था।
IBM ने 2011 के अंत में Q1 लैब्स खरीदी। यह कंपनी के लिए IBM SIEM बनाने का एक तेज़ और अधिक किफायती तरीका था। आईबीएम ने माना कि एसआईईएम बाजार में एक विश्वसनीय स्थान स्थापित करने में कई साल लगेंगे और अत्यधिक सम्मानित Q1 लैब्स को खरीदना एक बेहतर योजना थी।
आईबीएम Q1 लैब्स की रणनीति से इतना प्रभावित हुआ कि उसने कंपनी का नाम बदलकर आईबीएम सिक्योरिटी सिस्टम्स डिवीजन कर दिया और इसमें फंड डाला। आईबीएम ने 'सुरक्षा खुफिया प्लेटफ़ॉर्म' लेबल को बढ़ाया और उत्पादों के एक सूट के रूप में QRadar के विपणन पर ध्यान केंद्रित किया जिसमें QRadar SIEM भी शामिल है।
क्यूराडार सिएम विशेषताएं
सिएम सिस्टम सुरक्षा के लिए एक बहु-रणनीति दृष्टिकोण है, इसलिए, किसी भी सिएम की तरह, आईबीएम QRadar सिएम मॉड्यूल का एक सूट है. व्यापक संदर्भ में, आईबीएम अपने सुरक्षा इंटेलिजेंस प्लेटफ़ॉर्म का भी विपणन करता है, जो स्वचालित प्रतिक्रिया जैसी अन्य साइबर सुरक्षा सुविधाओं को जोड़ता है।
आश्चर्यजनक रूप से प्रतिद्वंद्वी SIEM प्रणालियों के विपरीत, QRadar SIEM में उपयोगकर्ता और इकाई व्यवहार विश्लेषण (UEBA) शामिल नहीं है। IBM सेवा में, यह QRadar सिक्योरिटी इंटेलिजेंस प्लेटफ़ॉर्म पर एक अलग मॉड्यूल है।
संपत्ति की खोज
एक स्वतः खोज QRadar SIEM में फ़ंक्शन नेटवर्क से जुड़े सभी उपकरणों को ट्रैक करता है और एक इन्वेंट्री बनाता है। उपकरण की यह सूची तब डैशबोर्ड की एसेट स्क्रीन में उपलब्ध होती है। स्क्रीन सभी उपकरणों की गतिविधियों को संक्षेप में रिकॉर्ड करती है और प्रत्येक व्यक्तिगत डिवाइस पर गतिविधि की जांच करने में सक्षम बनाती है।
भेद्यता स्कैनिंग
QRadar SIEM प्रत्येक डिवाइस की जाँच एक चेकलिस्ट के आधार पर करता है ज्ञात कमजोरियाँ . इन भेद्यता स्कैन के परिणाम एसेट स्क्रीन में उन मुद्दों के अलर्ट के साथ दिखाए जाते हैं जिन्हें हमले के खिलाफ सिस्टम को सख्त करने के लिए हल करने की आवश्यकता होती है।
लॉग प्रबंधन
QRadar SIEM एक आईटी सिस्टम के सभी बिंदुओं से लॉग संदेश खींचता है। सॉफ़्टवेयर का लगभग हर टुकड़ा लॉग संदेश उत्पन्न करता है। समस्या का एक हिस्सा यह है कि प्रत्येक लॉगफ़ाइल स्टोर को सार्थक आवृत्ति पर जांचना असंभव है।
QRadar SIEM का सिम भाग कार्य करता है एक लॉग सर्वर , सभी उपलब्ध लॉग संदेशों को एकत्रित करना और उन्हें एक केंद्रीय स्थान पर संग्रहीत करना। सभी लॉग प्रारूपों को एक सामान्य संरचना में पुनर्गठित किया जाता है, जिससे उन सभी में एक साथ पैटर्न खोजना संभव हो जाता है। यह कहा जाता है लॉग समेकन .
सभी लॉग संदेशों को तुरंत पुन: स्वरूपित किया जाता है और वे लॉग सर्वर से गुजरते हैं और तुरंत QRadar डैशबोर्ड में देखे जा सकते हैं। संग्रहीत रिकॉर्ड को विश्लेषण के लिए डैशबोर्ड व्यूअर में वापस बुलाया जा सकता है।
नेटवर्क गतिविधि
QRadar डैशबोर्ड में एक नेटवर्क गतिविधि स्क्रीन शामिल है, जो सिस्टम से गुजरने वाले ट्रैफ़िक का लाइव डेटा दिखाती है। यातायात डेटा विसंगतियों के लिए भी स्कैन किया जाता है, संदिग्ध गतिविधि का पता चलने पर अलर्ट जारी किया जाता है। नेटवर्क मॉनिटर ट्रैफ़िक डेटा को लॉग सर्वर पर भी भेजता है ताकि इसे ऐतिहासिक विश्लेषण में शामिल किया जा सके।
क्यूराडार सिएम नियम
QRadar SIEM का नियम आधार सिस्टम का डिटेक्शन इंजन है। यह स्वचालित रूप से एकत्रित लॉग संदेशों में विसंगतियों की पहचान करने और घटनाओं की श्रृंखलाओं को एक साथ जोड़ने के लिए पैटर्न की खोज करता है। यह सेवा को उन घुसपैठों की पहचान करने में सक्षम बनाता है जो कार्यों की एक श्रृंखला का उपयोग करके की जाती हैं जो अन्यथा व्यवसाय में सामान्य गतिविधियों की तरह दिखती हैं।
अपराधों
QRadar SIEM जिन विसंगतियों का पता लगाता है उन्हें 'कहा जाता है' अपराधों ।” इन्हें डैशबोर्ड के अपराध अवलोकन और अपराध विवरण स्क्रीन में दिखाया गया है। सिस्टम लॉग फ़ाइलों में पाई गई विभिन्न घटनाओं को एक साथ जोड़ता है जो एक ही अपराध से संबंधित हैं हमले की शृंखला .
रिपोर्टों
QRadar SIEM प्रणाली में पूर्व-लिखित रिपोर्ट प्रारूपों की एक लाइब्रेरी शामिल है। हालाँकि, ग्राहकों के लिए सिस्टम के भीतर अपना स्वयं का रिपोर्ट लेआउट लिखना भी संभव है।
QRadar SIEM कॉन्फ़िगरेशन विकल्प
QRadar क्लाउड-आधारित सेवा के रूप में या ऑन-प्रिमाइसेस इंस्टॉलेशन के लिए उपलब्ध है। ऑन-प्रिमाइसेस संस्करण एक आभासी उपकरण के रूप में चलता है और इसमें अपना स्वयं का ऑपरेटिंग सिस्टम शामिल होता है ताकि इसे किसी भी सर्वर पर स्थापित किया जा सके।
डैशबोर्ड
सिस्टम प्रबंधक किसी भी मानक वेब ब्राउज़र के माध्यम से डैशबोर्ड तक पहुँचते हैं। QRadar SIEM डैशबोर्ड की स्क्रीन में काली पृष्ठभूमि और सफेद या ग्रे टेक्स्ट है। यह योजना स्क्रीन में रंगीन ग्राफ़ को अलग दिखाने के लिए बहुत अच्छी है लेकिन इससे पाठ को पढ़ना मुश्किल हो जाता है। उदाहरण के लिए, यहां इवेंट ओवरव्यू स्क्रीन का एक दृश्य है, जो टेक्स्ट-सघन है।
स्क्रीन आंखों पर दबाव डाल सकती है। हालाँकि, वे अच्छी तरह से व्यवस्थित हैं और अवलोकन स्क्रीन एक रिकॉर्ड पर एक क्लिक के माध्यम से विवरण स्क्रीन तक ले जाती हैं। यहां अपराध अवलोकन स्क्रीन है।
स्क्रीन के निचले भाग में तालिका में किसी एक रिकॉर्ड पर क्लिक करने से उस रिकॉर्ड के बारे में विवरण प्राप्त होता है।
सामान्य तौर पर, विवरण स्क्रीन को अवलोकन स्क्रीन की तुलना में पढ़ना आसान होता है।
आक्रमण शमन
IBM अपने SOAR सिस्टम के माध्यम से स्वचालित आक्रमण शमन प्रदान करता है। SOAR का मतलब है ' सुरक्षा व्यवस्था, स्वचालन, और प्रतिक्रिया QRadar की IPS सुविधाओं का यह विकास जो स्वचालित रूप से हमले के रास्तों को बंद कर देता है, कहलाता है आईबीएम लचीला .
QRadar फ़ीड्स ने रेजिलिएंट में असामान्य व्यवहार का पता लगाया, जो इन गतिविधियों को अवरुद्ध करने के लिए नियम लागू करता है।
अनुपालन रिपोर्टिंग
आईबीएम ऐसे कंटेंट एक्सटेंशन तैयार करता है जो विशिष्ट डेटा सुरक्षा मानकों का अनुपालन करने के लिए QRadar SIEM सिस्टम को अनुकूलित करते हैं। इन अनुकूलन में PCI DSS, SOX, GDPR और HIPAA के लिए सिलाई शामिल है।
IBM QRadar का सर्वोत्तम विकल्प
क्यूराडार सिएम उपलब्ध सर्वोत्तम सिएम प्रणालियों में से एक है, लेकिन यह विचार करने लायक एकमात्र गुणवत्ता वाला सिएम नहीं है। QRadar की शुरुआती विशेषताओं में से एक इसकी सुविधा थी जो ग्राहकों को SOX और PCI DSS जैसे डेटा प्रबंधन मानकों के अनुपालन को साबित करने में सक्षम बनाती थी। एक अन्य विशेषता जिसमें QRadar उत्कृष्ट है, वह इसकी घटना प्रतिक्रिया स्वचालन (अब एक अलग मॉड्यूल में) है, जो कि IPS के रूप में SIEM के पहले अवतार से विकसित हुई है। ऐसे अन्य उपकरण भी हैं जिनकी क्षमताएं समान हैं।
यदि आप QRadar SIEM प्रणाली को आज़माना चाहते हैं, तो आप इसका उपयोग कर सकते हैं 14 दिन का निःशुल्क परीक्षण आईबीएम वेबसाइट पर.
अधिकांश एसआईईएम प्रणालियों की तरह, QRadar एक अच्छा लॉग मैनेजर होने के साथ-साथ एक सुरक्षा प्रणाली भी है। यह क्षमता आईबीएम सिएम के विकल्पों से मेल खाती है जो निम्नलिखित सूची में दिखाई देते हैं।
सिएम और बाज़ार में प्रतिस्पर्धा करने वाली सर्वोत्तम प्रणालियों के बारे में अधिक जानने के लिए, हमारी पोस्ट पर एक नज़र डालें b सिएम उपकरण है . वैकल्पिक रूप से, यदि आप काम को आउटसोर्स करना चाहते हैं और इसके बजाय एसआईईएम विशेषज्ञों की एक टीम को नियुक्त करना चाहते हैं, तो इसकी जांच करें सर्वोत्तम प्रबंधित सिएम सेवाएँ डाक। यदि आपके पास उस गाइड को पढ़ने का समय नहीं है, तो यहां QRadar SIEM के दस सर्वोत्तम विकल्प दिए गए हैं।
यहां IBM QRadar के सर्वोत्तम विकल्पों की हमारी सूची दी गई है:
- सोलरविंड्स सिक्योरिटी इवेंट मैनेजर संपादक की पसंद आईटी इंफ्रास्ट्रक्चर प्रबंधन टूल में मार्केट लीडर का एक एसआईईएम टूल, इस सुरक्षा सॉफ्टवेयर को कई डेटा सुरक्षा मानकों का अनुपालन करने के लिए कैलिब्रेट किया जा सकता है और इसमें स्वचालित घटना प्रतिक्रिया भी शामिल है। यह सॉफ्टवेयर विंडोज सर्वर पर इंस्टॉल होता है।
- इंजन इवेंटलॉग विश्लेषक प्रबंधित करें (निःशुल्क परीक्षण) एक सिम सेवा जो बुनियादी ढांचे के निगरानी उपकरणों के एक सूट का हिस्सा है। SEM को ManageEngine OpManager पर जोड़कर प्रदान किया जा सकता है। यह विंडोज़ और लिनक्स पर इंस्टॉल होता है। 30 दिन का निःशुल्क परीक्षण प्रारंभ करें.
- डेटाडॉग सुरक्षा निगरानी एक सुरक्षा निगरानी लॉग मैनेजर और एसआईईएम जो अलर्ट के साथ सिस्टम मॉनिटरिंग पैकेज का एक मॉड्यूल है। इस क्लाउड-आधारित सिस्टम के लिए एजेंट प्रोग्राम ऑन-साइट इंस्टॉल होते हैं।
- मैक्एफ़ी एंटरप्राइज़ सुरक्षा प्रबंधक एक अत्यधिक सम्मानित एसआईईएम जिसमें लॉग प्रबंधन और लाइव ट्रैफिक मॉनिटरिंग शामिल है। यह प्रणाली सक्रिय निर्देशिका प्रबंधन पर विशेष रूप से मजबूत है। यह विंडोज़ और मैकओएस पर इंस्टॉल होता है।
- फोर्टिनेट फोर्टिसिएम एक उन्नत सिएम प्रणाली जो क्लाउड से वितरित की जाती है। मल्टी-वेक्टर डिटेक्शन रणनीति और स्वचालित रक्षा प्रतिक्रियाओं से लाभ उठाने के लिए मॉनिटर किए गए उपकरणों पर एजेंट प्रोग्राम स्थापित करने की आवश्यकता होती है।
- रैपिड7 इनसाइटआईडीआर एक क्लाउड-आधारित सुरक्षा सेवा जिसके लिए डिवाइस मॉनिटरिंग एजेंट सॉफ़्टवेयर को परिसर में स्थापित करने की आवश्यकता होती है। इसे स्थापित करना आसान है और इसमें स्वचालित खतरा शमन भी शामिल है।
- ओएसएसईसी लॉग विश्लेषण पर विशेष ध्यान देने वाला एक निःशुल्क, ओपन-सोर्स आईडीएस। यह विशेष रूप से एक सिम है लेकिन इसे अन्य मॉनिटरिंग पैकेजों से लाइव नेटवर्क ट्रैफ़िक डेटा फीड करके पूर्ण सिएम के रूप में विस्तारित किया जा सकता है। यह विंडोज़, मैकओएस, लिनक्स और यूनिक्स पर इंस्टॉल होता है।
- लॉगरिदम नेक्स्टजेन सिएम प्लेटफार्म ट्रैफ़िक और लॉग विश्लेषण के लिए AI विधियों का उपयोग करता है। सॉफ़्टवेयर पैकेज में विस्तृत उपयोगकर्ता मार्गदर्शिकाएँ शामिल हैं। यह विंडोज़ और लिनक्स पर इंस्टॉल होता है।
- एटी एंड टी साइबर सुरक्षा एलियनवॉल्ट एकीकृत सुरक्षा प्रबंधन यह QRadar SIEM का एक प्रमुख प्रतिद्वंद्वी है और इसकी पृष्ठभूमि भी समान है - स्वतंत्र रूप से विकसित किया गया है और एक बड़ी बहुराष्ट्रीय कंपनी द्वारा खरीदा गया है। यह विंडोज़ और मैकओएस पर चलता है।
QRadar सिएम अक्सर पूछे जाने वाले प्रश्न
QRadar SIEM vmprotocol का उपयोग कैसे करता है?
QRadar दो प्रकार का वर्चुअलाइजेशन प्रदान करता है। इसे क्लाउड पर एक SaaS पैकेज के रूप में एक खाता संरचना के साथ प्रस्तुत किया जाता है जो खातों को अलग करने के लिए VMs का उपयोग करता है ताकि एक ग्राहक ऑपरेटिंग सिस्टम के माध्यम से दूसरे के खाते में सेंध न लगा सके। दूसरा विकल्प QRadar सॉफ़्टवेयर को एक आभासी उपकरण के रूप में स्थापित करना है। यह आईबीएम का अपना वीएम प्रोटोकॉल है जिसमें एक ऑपरेटिंग सिस्टम शामिल है।
आप क्लाउड सेवा को QRadar SIEM से कैसे जोड़ते हैं?
आपको क्लाउड सेवा पर एक एजेंट स्थापित करने की आवश्यकता है जिसे आप चाहते हैं कि QRadar मॉनिटर करे, इन्हें कंटेंट पैक कहा जाता है और इन्हें AWS और Azure जैसे प्रत्येक प्लेटफ़ॉर्म के बाज़ार से एक्सेस किया जा सकता है। इस प्रक्रिया के लिए एक गाइड QRadar प्लेटफ़ॉर्म के भीतर उपलब्ध है।
QRadar और स्प्लंक के बीच क्या अंतर है?
क्यूराडार आईबीएम की संपत्ति है और स्प्लंक एक अलग कंपनी का उत्पाद है, जिसे स्प्लंक, इंक. कहा जाता है। ये सीधे तौर पर दो प्रतिस्पर्धी उत्पाद नहीं हैं क्योंकि स्प्लंक एक डेटा विश्लेषण उपकरण है, जबकि क्यूराडार केवल एक सिएम फ़ंक्शन करता है। हालाँकि, स्प्लंक को एक सशुल्क उत्पाद द्वारा बढ़ाया जा सकता है, जिसे स्प्लंक एंटरप्राइज सिक्योरिटी कहा जाता है। यह एक एसआईईएम पर केंद्रित है और यह QRadar का सीधा प्रतिद्वंद्वी है।