Investigaciones de seguridad

Con IBM® QRadar® Incident Forensics, puede detectar amenazas emergentes, determinar la causa raíz y evitar recurrencias. Mediante herramientas de análisis forense, puede rápidamente centrar su análisis en quién inició la amenaza, cómo se llevó a cabo y qué se ha puesto en peligro.

Como investigador de análisis forense, puede hacer un seguimiento paso a paso de las acciones de los delincuentes cibernéticos y reconstruir los datos de red en bruto que están relacionados con un incidente de seguridad.

Una vez que la empresa conoce la existencia de una amenaza, un riesgo de seguridad potencial o una vulneración de normas, define objetivos para determinar el alcance del ataque, identificar las entidades involucradas y conocer las motivaciones.

Puede utilizar las herramientas de IBM QRadar Incident Forensics en escenarios específicos en los distintos tipos de investigaciones, como la seguridad de red, el análisis interno, el fraude y el abuso y la recopilación de pruebas.
  1. Recuperar y reconstruir sesiones de red hacia y desde una dirección IP.
  2. A partir de los incidentes creados, puede consultar categorías de atributos para recoger pruebas.

    Cuando se crea una recuperación, se crea un incidente.

  3. Utilizar filtros de búsqueda para recuperar sólo la información en la que se está interesado.
  4. Dependiendo del tipo de investigación, elegir la herramienta forense que suministre las pruebas necesarias.

Contenido sospechoso

Puede buscar cualquier elemento contextual o identificador que conozca sobre el atacante o incidente. Si utiliza la palabra clave en la búsqueda, obtendrá resultados sospechosos. Parte del contenido sospechoso puede ser significativo para la investigación.

Encadenamiento de datos

El encadenamiento de datos se consigue haciendo que el contenido devuelto por el resultado de una búsqueda adopte la forma de enlace activo. Por ejemplo, si busca "Tom", los resultados pueden incluir correos electrónicos que Tom escribió, conversaciones de Tom en redes sociales, y más información contextual. Cuando pulsa en un correo electrónico para visualizarlo, cada activo o entidad, tales como archivos adjuntos o identificadores del sistema que Tom utilizó, aparecen en forma de enlaces. Un investigador puede utilizar estos enlaces para investigar rápidamente.

Impresión digital

Utilice la impresión digital para buscar en los datos y correlacionar la relación entre entidades, tales como direcciones IP, nombre y direcciones MAC, de acuerdo con la frecuencia. Puede seleccionar uno o varios resultados para ver la frecuencia y dirección de la relación.

Herramienta de supervisión

Utilice la herramienta de supervisión para ver un calendario de actividades que le permita hacer un seguimiento de un ataque. La herramienta de supervisión reconstruye la sesión y ordena los documentos por orden de hora.

Filtrado de contenido

Utilice el filtrado de contenido para examinar un subconjunto de categorías de contenido, tales como WebMail, y eliminar la información irrelevante cuando realiza una búsqueda.