امیرحسین تنگسیری نژاد
مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

IBM QRadar چیست و چگونه کار میکند؟

محصولات متنوعی را امروزه به عنوان SIEM در دنیای مرکز عمليات امنیتی ( SoC ) میبینیم که یکی از آنها QRadar محصولی میباشد که توسط شرکت IBM ارائه شده است تا بتواند آسیب پذیری ها و آسیب های متنوع به سازمان را تاحد امکان کاهش دهد و جلوی آنهارا در بهترین زمان بگیرد. این محصول با دریافت اطلاعات متنوع از سمت دیوایس های درون شبکه شروع به تجزیه و تحلیل این اطلاعات میکند و با متصل شدن به سیستم ها و دیوایس های درون شبکه و دارای های سازمان و متصل شدن به پایگاه های امنیتی به صورت Real Time فعالیت های متنوع کاربر و اطلاعات مختلفی که از سیستم درحال عبور میباشند از جمله ارتباطات‌ شبکه ایی را رصد میکند و رفتارها و حملات را تشخیص میدهد و یا جلوی آنهارا میگیرد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

IBM QRadar چیست و چگونه کار میکند؟

بیشتر ببینید: کاملترین دوره آموزش SANS 560 | آموزش تست نفوذ شبکه 

محصول IBM QRadar از ویژگی های متعددی برخوردار است که توانایی و تشخیص آنرا بالاتر میبرد از جمله این ویژگی های عبارتند از:

  • هوش مصنوعی ( Artificial Intelligence )
  • یادگیری ماشین ( Machine Learning )
  • تحلیل رفتارها ( Behavior Analytics )

از این بابت ما به واسطه QRadar میتوانیم با هزینه کمتر و نیروانسانی کمتر در یک چشم به هم زدن تمامی فرآيند های تشخیص حملات و جلوگیری از حملات را به انجام برسانیم و در تمامی ساعات این فرآيند ها اعمال شوند و درسریع ترین زمان پاسخگویی به آنها داده شود.

IBM QRadar چیست و چگونه کار میکند؟

انواع حالت های استقرار ( Deployment ) محصول QRadar چیست؟

ما به شکل های مختلفی میتوانیم از QRadar استفاده کنیم و راه های استقرار متنوعی در پیش روی ما میباشد، از این بابت ما میتواینم از QRadar به عنوان یک نرم افزار یا سخت افزار استفاده کنیم و یا به صورت یک نرم افزار مجازی آن را بر روی مجازی ساز های متنوع راه اندازی و نصب کنیم.

بیشتر ببینید: دوره آموزش تشخیص نفوذ | IDS / IPS

مفهوم Event Processors در QRadar چیست؟

درواقع Event Processor ها برای جمع آوری اطلاعات و ذخیره و تجزیه تحلیل داده ها از ارسال کننده های داده میباشد که معماری اصلی این فرآيند هارا Event Processors تشکیل میدهد.

مفهوم Flow Processors در QRadar چیست؟

درواقع به واسطه Flow Processors در QRadar توانایی دریافت و جمع آوری اطلاعات و ارتباطات‌ لایه 4 مدل OSI یعنی Transport Layer را به خوبی داریم. ترافیک های لایه Application نیز یعنی لایه 7 مدل OSI به واسطه QFlow تجزیه و تحلیل و بازرسی میشوند که این فرآيند یک فرآيند Deep Packet Inspection برای تجزیه و تحلیل دقیق بسته ها در این لایه میباشد.

تفاوت Event Processors و Flow Processors در چیست؟

درواقع Event Processors و Flow Processors هردو به یک شکل عمل میکنند اما با این تفاوت که Flow Processors هدف آن دریافت و تجزیه و تحلیل داده های سمت شبکه میباشد اما Event Processors هدف آن دریافت و تجزیه و تحلیل داده های سیستمی میباشد.

مهم ترین جنبه های IBM QRadar چیست؟

حال بیاید یک نگاهی بر روی جنبه های مهم و متنوع در QRadar داشته باشیم که به شرح زیر میباشند:

  • Log Activity: در هر زمان ما توانایی دسترسی به رویداد متنوع درون شبکه را داریم و به راحتی می‌توانیم آنهارا بررسی کنیم و در آنها سرچ کنیم
  • Network Sessions: تمامی Session ها و ارتباطات میان دو کامپیوتر قابل دیدن و رصد هستند.
  • Web Browser: در هنگام استفاده از QRadar از مروگر های پشتیبانی شده و پیشنهاد شده توسط IBM برای این محصول استفاده کنید
  • Crime: تمامی جرایم توسط QRadar قابل بررسی و مشاهده میباشند.
  • Reports: در QRadar امکان تهیه گزارشات مختلفی وجود دارد.
  • Data Collection: در QRadar توانایی جمع آوری اطلاعات از طیف وسیعی از تجهیزات و دیوایس ها و نرم افزار ها از جمله نرم افزار های اسکن امنیتی وجود دارد.

معماری IBM QRadar چگونه است؟

درواقع IBM QRadar Security یک نرم افزار ماژولار میباشد و توانایی ادغام سازی و نصب ماژول ها و نرم افزار های زیاد را بر روی خود دارد که اکثر اینها توسط خوده IBM برای QRadar ارائه شده اند که عبارتند از:
  • QRadar Vulnerability Manager
  • QRadar Risk Manager
  • QRadar Incident Forensics

اما به صورت کلی معماری IBM QRadar به سه بخش متنوع تقسیم بندی میشود و لازم به ذکر است که این ساختار برای تمامی ماژول های QRadar به یک شکل میباشد

IBM QRadar چیست و چگونه کار میکند؟

لایه اول در معماری QRadar - جمع آوری اطلاعات ( Data Collection )

در این لایه از QRadar وظیفه جمع آوری کردن اطلاعات متنوع سیستم ها و ارتباطات‌ شبکه بر روی QRadar میباشد و اینکار را به واسطه دو Processors متنوع یعنی QFlow و Event به انجام میرساند که این دو با نام های دیگری مانند Event Collector و QFlow Collector نیز شناخته میشوند. به واسطه Event Collector ما در QRadar توانایی دریافت و تجزیه و تحلیل اطلاعات سیستمی را داریم و به واسطه QFlow Collector ما توانایی رصد و دریافت و تجزیه و تحلیل ترافیک شبکه ایی را داریم

لایه دوم در معماری QRadar - پردازش داده ها ( Data Processing )

در این لایه پس از دریافت کردن داده ها به واسطه لایه اول حال QRadar به واسطه یک سری قوانین در یک موتور تحت عنوان CRE یا همان Customer Rule Engine شروع به پردازش و کشف اشکالات و تخلفات متنوع در داده ها میکند و آنهارا درصورت پیدا کردن ذخیره میکند.

لایه سوم در معماری QRadar - جست و جو در داده ها ( Data Searches )

در این لایه QRadar پس از دریافت و تجزیه و تحلیل و پردازش داده ها توسط QRadar حالا توسط یک متخصص این داده ها میتوانند از طریق Console مدیریتی QRadar بررسی شوند و یا درون آنها جست و جو و مدیریت های متنوع انجام شود.

ابزار های مهم در QRadar چیست؟

ابزار های مهم زیادی را در QRadar داریم که کمک زیادی در تجزیه و تحلیل داده ها به ما میکنند اما معروف ترین آنها به شرح زیر میباشند:
 QRadar Vulnerability Manager: این ماژول یا بهتر بگویم این ابزار توانایی تجزیه و تحلیل و کشف آسیب پذیری های متنوع درون شبکه را به QRadar میدهد. ما به واسطه این ماژول توانایی کشف کردن حملات و آسیب پذیری و خطرات امنیتی درون شبکه را داریم.
QRadar Risk Manager: همانطور که از نام آن هم پیدا میباشد وظیفه این ماژول مدیریت Risk ها میباشد بدین شکل که پیکربندی و اطلاعات متنوع در رابطه با شبکه و تجهیزات شبکه را جمع آوری میکند و تمامی آنهارا به صورت سناریو محور و براساس Topology آنها برای ما نمایش میدهد.
QRadar Forensic Incident: به واسطه این ماژول ما میتوانیم فرآيند های عمیق کشف جرم و پزشکی قانونی دیجیتال را بر روی سطح شبکه خودمان داشته باشیم

بیشتر ببینید: کاملترین دوره آموزش کشف جرایم رایانه ای

تفاوت QRadar و Splunk چیست؟

به صورت خیلی کلی QRadar طراحی شده است که بتواند با دیگر محصولات شرکت IBM مانند Waston AI کارکند اما Splunk به صورت یک نرم افزار کاملا مستقل برای تعامل با اکثر اجزای یک سیستم طراحی شده است.

IBM QRadar چیست و چگونه کار میکند؟


امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد

مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

متخصص امنیت اطلاعات و کارشناس شکار تهدیدات بانک ملی ایران ، دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider می‌باشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان تحلیلگر امنیت سایبری در زیرساخت بانک ملی مشغول به کار هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/

نظرات