ISECO
Toolset

Ticketing rozšiřuje možnosti nativního workflow pro investigace incidentů v QRadaru o použití ticketovacího nástroje třetích stran. Umožňuje manuální nebo automatické vytváření ticketů, obousměrnou synchronizaci stavu, poznámek a informací o uzavření mezi QRadar offense a externím ticketem. Konfigurovatelná pravidla umožňují pomocí předdefinovaných pravidel předem vyplnit informace potřebné k založení ticketu.

Vlastnosti

• Vytváření různých šablon pro zakládání ticketů
• Manuální vytvoření ticketu přímo z uživatelského rozhraní IBM QRadar offense – pomocí výběru šablony a vytvořením ticketu
• Možnost definice pravidel pro výběr šablony a/nebo předvyplnění hodnot pro externí ticket
• Použití podmínek v pravidlech na základě jména pravidla, IP adresy, uživatelského jména a dalších
• Modulární architektura pro podporu různých externích ticketovacích nástrojů
• Obousměrná integrace poznámek mezi offense a externím ticketem
• Automatické zavření offense po uzavření ticketu (a obráceně)

LogBook pomáhá udržet přehled o aktivitách uživatelů a administrátorů v prostředí IBM QRadar pomocí párování nativních auditních záznamů s uživatelsky přívětivými záznamy v provozním deníku.

Vlastnosti

• Automatické vyhledání nativních auditních zpráv v IBM QRadaru spojených s uživatelskou aktivitou
• Vytvoření záznamu v provozním deníku a jeho párování s nativními auditními záznamy IBM QRadaru
• Schvalovací workflow pro uložení záznamů v provozním deníku
• Neměnitelné záznamy v provozním deníku

Reporting zlepšuje dostupnost reportů IBM QRadaru pro externí uživatele a přidává další chybějící funkce – např. distribuci pouze neprázdných reportů, možnost parametrizace dotazů a doplňování externích informací do reportů.

Vlastnosti

• Distribuce vygenerovaných nativních reportů IBM QRadaru na vzdálená úložiště
• Možnost distribuce pouze neprázdných reportů
• Zasílání agregovaných e-mailových notifikací (souhrn dostupných reportů)
• Konfigurace distribuce reportů / zasílání e-mailových notifikací pomocí nativních uživatelských rolí / security profilů v IBM QRadaru
• Vytváření parametrizovaných AQL reportů
• Vytváření pokročilých AQL reportů s exportem do formátu MS Excel

Backup aplikace rozšiřuje možnosti výchozího zálohovacího modulu IBM QRadaru a přidává možnost distribuce záloh na externí úložiště, zavádí jednotný dohled nad zálohovacím procesem a možnost vytvářet vlastní zálohy nad rámec standardních záloh.

Vlastnosti

• Distribuce nativních záloh IBM QRadaru na vzdálené úložiště (SMB, NFS, SFTP)
• Vytvoření vlastního archivu se zálohou z jakékoliv složky v IBM QRadaru
• Udržování retence archivů na vzdáleném úložišti
• Pokročilé možnosti plánování zálohování
• Podpora vícenásobných zdrojů a cílů záloh
• Monitoring všech operací pomocí nativních nástrojů IBM QRadaru (logování, pravidla)
• Podpora pro distribuovaná nasazení a nasazení ve vysoké dostupnosti (HA)
• Nativní IBM QRadar SDK aplikace (QRadar ve verzi 7.3.2 a vyšší)

Log Enhancer obohacuje příchozí zprávy o externí informace.

Vlastnosti

• Možnost přidání chybějících informací ke zprávě (např. DNS jméno do zprávy, kde je uvedena pouze IP adresa, překlad čísla zaměstnance na uživatelské jméno)
• Použití obohacených informací standardním způsobem – ve vlastních položkách nebo korelačních pravidlech
• Dostupnost dvou módů obohacování – přímé (pouze obohacená zpráva je uložena v IBM QRadaru) a přeposílané (původní i obohacená zpráva je uložena v IBM QRadaru)

Na základě zkušeností se získáním dat z různých zdrojů logů do IBM QRadaru můžeme nabídnout vlastní agenty pro integraci nepodporovaných či těžko integrovatelných zdrojů logů.

IBM iSeries (AS 400)

Agent pro IBM iSeries (AJEMON – Audit Journal Entry Monitor) čte informace z interního auditního žurnálu IBM iSeries, formátuje je a zasílá do IBM QRadaru pomocí syslogu. Agent byl vytvořen specificky pro IBM iSeries s hlubokou znalostí auditního subsystému IBM iSeries a je plně konfigurovatelný včetně možností filtrování. Formou rozšíření je dostupný monitoring událostí z message queue.

MSSQL audit agent

Agent pro vyčítání MSSQL auditu obsahuje specifický set konfigurovatelných komponent s cílem zajistit bezpečné vyčítání MSSQL auditu bez dopadu na monitorovaný systém. Agent odstraňuje známé nedostatky auditního systému MSSQL (zamykání souborů, zastavení služby apod.)

Custom agents

Pokud hledáte způsob, jak integrovat specifický systém, nestandardní formát logů – obraťte se na nás. Náš tým má dlouholeté zkušenosti s integracemi pro IBM QRadar a je připraven vám pomoci.