架構師入門

如果您是架構設計師,下列主題是您開始學習如何在日常工作流程中使用 IBM® QRadar® 的好地方。

架構

您瞭解 QRadar 的分散式架構及各種元件的角色嗎?
  • QRadar 架構概觀

    QRadar 是一種模組化架構,可提供 IT 基礎架構的即時可見性,可用來進行威脅偵測及設定優先順序。 您可以調整 QRadar ,以符合您的日誌和流程收集以及分析需求。 您可以將整合模組新增至 QRadar 平台,例如 QRadar Risk ManagerQRadar Vulnerability ManagerQRadar Incident Forensics

  • QRadar 元件

    使用 QRadar 元件來調整部署,以及管理分散式網路中的資料收集和處理。

  • QRadar 事件及流程

    QRadar 的核心功能是透過監視流程及事件來管理網路安全。 事件與流程資料之間的顯著差異是事件(通常為特定動作的日誌,例如使用者登入)或 VPN 連線發生在特定的時間,且事件會在該時間記載。 流程是根據階段作業內的活動,可以持續數秒、數分鐘、數小時或數天的網路活動記錄。

您是否知道如何為環境設定架構需求、資料率及保留原則的範圍,以最佳方式建置 QRadar 部署?
  • 資料保留

    保留儲存區定義事件及流程資料在 QRadar中保留的時間長度。 當 QRadar 接收事件及流程時,會將每一個事件及流程與保留儲存區過濾準則進行比較。 事件或流程符合保留儲存區過濾器時,則會儲存在該保留儲存區中,直到達到刪除原則時段為止。 預設保留期為 30 天;然後,會立即刪除資料。

  • 配送事件及流程容量

    使用「授權儲存區管理」視窗來確保您獲得的每秒事件數 (EPS) 及每分鐘流程數 (FPM) 授權已完全使用。 此外,請確保 QRadar 配置為處理定期激增的資料,而不捨棄事件或流程,或具有過多的未用 EPS 及 FPM。

流程來源

您瞭解如何安裝網路區段裝置以增強可見性和安全性嗎?
  • Forensics 及完整封包收集

    在部署中使用 IBM QRadar Incident Forensics ,以追蹤潛在攻擊者的逐步動作,並對可疑的惡意網路安全事件進行深度取證調查。

您知道如何判定哪些網路區段向 QRadar報告嗎?
  • 定義網路階層準則

    QRadar 中建置網路階層是配置部署的重要首要步驟。 如果沒有已配置的網路階層,則 QRadar 無法判定流程方向、建置可靠的資產資料庫,或從規則中有用的建置區塊中獲益。

  • 定義網路階層

    包含預先定義網路群組的預設網路階層包括在 QRadar中。 您可以編輯預先定義的網路階層物件,或者您可以建立新的網路群組或物件。