Построение Центра обеспечения безопасности следующего поколения при помощи IBM QRadar
Copyright © 2023 Packt Publishing
|
Данный документ предоставляется по лицензии Creative Commons Attribution 4.0 License, за исключением разделов со специальными оговорками. |
Первая публикация на английском языке: Июнь 2023
Ссылка на продукт: 1310523
Все права защищены. Никакая часть этой книги не может быть воспроизведена, сохранена в поисковой системе или передана в любой форме или любыми средствами без предварительного письменного разрешения издателя, за исключением случаев кратких цитат, встроенных в критические статьи и обзоры.
При подготовке этой книги были предприняты все усилия чтобы гарантировать точность представленной информации. Тем не менее, информация, содержащаяся в этой книге, продаётся без гарантии в явном или неявном виде. Ни авторы, ни Packt Publishing, ни их дилеры и дистрибьюторы не будут нести ответственность за любые убытки, вызванные или предположительно вызванные прямо или косвенно этой книгой.
Packt Publishing пыталась предоставить информацию о товарных знаках обо всех компаниях и продуктов, упомянутых в данной книге для надлежащего использования капиталов. Тем не менее, Packt Publishing не может гарантировать точность этой информации.
Опубликовано Packt Publishing Ltd.
Livery Place
35 Livery Street
Birmingham B3 2PB, UK
ISBN 978-1-80107-602-9
2023-07-22
- Автор
- Ашиш М Котикар
- Управляющий группой продуктов
- Паван Рамчандани
- Управляющий издания продукта
- Прачи Савант
- Старший редактор
- Роми Диас
- Технический редактор
- Арджун Варма
- Литературный редактор
- Safis Editing
- Координатор проекта
- Ашвин Харва
- Корректор
- Safis Editing
- Составитель указателя
- Пратик Широдкар
- Технолог
- Прашант Гаре
- Координатор маркетинга
- Мэрилу Дмелло
Я твёрдо верю в силу обнародования. Данная книга это олицетворение максимума моих усилий, направленных на то, чтобы приняться за сложные темы, упростить их и представить наиболее широкой аудитории.
Ашиш М Котикар в настоящее время работает в группе SWAT для продуктов Безопасности IBM. Он имеет более чем 16-летний опыт работы в IBM. Он является профильным экспертом (SME) по продуктам IBM в сегменте управления угрозами, включая решения IBM QRadar и Cloud Pak для обеспечения безопасности. Он является автором многих информационных бюллетеней IBM, посвящённых совместной работе продуктов IBM Security и IBM Storage. Он заядлый технический блоггер и пишет о различных случаях применения безопасности.
Я бы хотел воспользоваться возможностью поблагодарить Йогеша Талекара, моего управляющего, за его согласие и за всё его содействие ускорению формальностей, необходимых для начала работы над данной книгой. Йогеш бульше чем просто управляющий, он также друг, гид и философ.
Мои рецензенты - Боудьяян Чакрабарти (Боб), Сэм Ю и Анкит Рай — помогли мне глубже погрузиться в технические аспекты функций QRadar. Отдельное спасибо Бобу, который прошёл через все трудности в этом путешествии.
Моя семья поддерживала меня и была источником вдохновения на протяжении всего данного путешествия. Я хотел бы искренне поблагодарить их. А также мою покойную бабушку, без которой многое было бы невозможно, в том числе и эта книга.
Самсон Ю инженер по кибербезопасности, квалификация которого включает степень в области компьютерных наук; CISSP, IBM Security Certified Consultant, ITIL, MCSE и сертификаты последипломного образования в области кибербезопасности; а также детальное знание архитектур безопасности и наилучших практических приёмов. Он обладает 12-летним опытом разработки, внедрения и поддержки решений по защите сетей, систем и информационных активов для компаний из списка Fortune 500 по всей Азии. Его основная сила заключается в устранении неполадок при неудачном развёртывании и плохой архитектурной реализации. Он работал представителем малого и среднего бизнеса на сертификационных экзаменах QRadar и в настоящее время работает активным послом по кибербезопасности Нового Южного Уэльса. Это шестая книга, над которой он работал.
Я хочу поблагодарить мою жену Джесси и своих детей Эдисона, Вивиан и Рошель за то, что они дали мне время улучшить себя, чтобы учиться и писать. Когда я окончил университет, кибербезопасность как вид деятельности не существовала, поэтому я желаю тем, кто выбрал это призвание, удачи в будущем, поскольку это потрясающая карьера с бесконечным обучением.
Анкит Рай обладает более чем 10-летним опытом работы в области кибербезопасности и он помогал директорам по информационной безопасности, вице-президентам и руководителям отделов кибербезопасности в различных многонациональных корпорациях в закупке и проведении PoC инструментов безопасности, а также в комплексном развёртывании, обслуживании и поддержке различных решений кибербезопасности. Анкит Рай — успешный профессионал, создавший первый полнофункциональный SOC для одного из крупнейших небольших финансовых банков. У него большое сообщество в социальных сетях, и он любит выступать в колледжах и университетах по вопросам кибербезопасности.
Моё сердце обращено к моей семье, которая сделала меня тем, кем я являюсь сегодня, и к моим менеджерам, которые всегда поощряли моё стремление к обучению и моё неутолимое любопытство. Я также хотел бы поблагодарить свою спутницу жизни Монику, которая всегда была со мной в горе и в печали, днем и ночью.
Наконец, я хотел бы поблагодарить сообщество, которое приняло меня с распростёртыми объятиями, когда я ещё только изучал основы информационной безопасности. Спасибо!
Будхаян Чакрабарти (Боб) является исполнительным архитектором в команде IBM Security Elite, специализирующийся на управлении угрозами. Обладая более чем 16-летним практическим опытом, Боб также принимал участие во многих международных развёртываниях решений для обеспечения соответствия требованиям безопасности и анализа безопасности, в которых он действовал, причём начиная с этапа запроса предложений к этапу проверки концепции и заканчивая окончательным развёртыванием и обучением самого клиента. Он регулярно выступает с докладами о кибербезопасности на различных конференциях, а также является автором нескольких книг и публикаций. Он также провёл множество обучающих курсов по продуктам для обеспечения безопасности и соответствия требованиям. Он является специалистом по малому и среднему бизнесу в области безопасности и сертификации.
Я бы хотел воспользоваться этой возможностью и поблагодарить всех, кто поддерживал меня в данном путешествии, особенно всех моих наставников. Отдельное упоминание Йогешу Талекару, который всегда был для меня источником вдохновения и путеводной звездой. Он причина всего, чего я достиг до сих пор. Я также хотел бы поблагодарить свет моей жизни Майтрейи, которая всегда стояла за мной и служила мне опорой. Она поддерживала меня так, как я и представить себе не мог. Спасибо тебе за все.
IBM QRadar уже более десяти лет выступает лидером в сегменте рынка безопасности. IBM QRadar это некий агрегатор, который содержит продукты обеспечения безопасности, получает от них сведения, сопоставляет эти данные и пользуется искусственным интеллектом и машинным обучением для предоставления догадок, предупреждений и отчётов специалистам- практикам и заинтересованным сторонам. К ним относятся аналитики, администраторы безопасности, правительственные учреждения, правоохранительные органы и исполнительное руководство. В данной книге рассматриваются основные понятия на которых выстраивается QRadar, поясняются его архитектура, службы и различные компоненты. Она подробно описывает как заинтересованные стороны могут применять QRadar для различных целей, включая приложения QRadar, которые представляют собой созданные IBM для различных продуктов безопасности специализированные решения. Она завершается информационными ремесленными главами, посвящёнными опыту работы самого автора с QRadar и советами максимально действенного применения QRadar для обеспечения безопасности вашей организации.
Я знаком с Ашишем более полувека и тесно сотрудничал с ним, причём он сыграл важную роль в разработке различных решений для обеспечения безопасности, включая продукты IBM QRadar и IBM Storage. Он является автором многих информационных бюллетеней IBM в этой области. Данная книга предоставляет комплексное представление и знания о QRadar, в том числе о том, как его применять для обеспечения безопасности вашей организации. Я определённо рекомендую её для практиков в различных отраслях отрасли.
Сандип Патил
IBM STSM (IBM Storage CTO Office), IBM Master Inventor, WW Prolific Inventor
- Введение
- Часть 1. Разбираемся с различными компонентами и архитектурами QRadar
- Глава 1. Компоненты QRadar
- Глава 2. Как сочетаются друг с другом компоненты QRadar
- Глава 3. Управление развёртываниями QRadar
- Часть 2. Функциональные возможности и развёртывание QRadar
- Глава 4. Интеграция журналов и потоков в QRadar
- Глава 5. Не проходим мимо каких бы то ни было данных
- Глава 6. Досмотрщики QRadar
- Глава 7. Правила и проступки QRadar
- Часть 3. Разбираемся с прикладными приложениями и расширениями QRadar, а также с их развёртыванием
- Глава 8. Внутренние угрозы - выявление и смягчение последствий
- Глава 9. Интеграция ИИ в диспетчер угроз
- Глава 10. Повторное проектирование практики пользователя
- Глава 11. WinCollect - агент для Windows
- Глава 12. Устранение неисправностей QRadar
- Указатель
Данная книга это законченное руководство по планированию, развёртыванию и управлению средой QRadar для любых центров операций безопасности. Она сосредотачивается на интерфейсах каждого из компонентов QRadar и тому, как они могут развёртываться для достижения желаемого результата. Вы обнаружите рекомендации реализации гигантских реализаций в QRadar. Данная книга описывает как следует применять прикладные приложения QRadar в качестве дополнительных функциональных возможностей, а также как разрабатывать индивидуальные прикладные приложения QRadar.
Эта книга предназначена для аналитиков безопасности, системных администраторов и архитекторов безопасности, а также для руководителей высшего звена, с целью помощи для них в понимании концепци1 и функциональных возможностей QRadar. В данную книгу включены примеры из реальной жизни, которые помогут группам управления инцидентами справляться с происшествиями безопасности и выполнять планирование под кибератаки.
Глава 1. Компоненты QRadar поясняет компоненты QRadar, что представляют собой различные службы QRadar и какие службы исполняются в каких компонентах. Данная глава поможет вам разобраться с тем как спроектирован QRadar и как различные компоненты предоставляют различные функциональные возможности.
Глава 2. Как сочетаются друг с другом компоненты QRadar внимательно изучает консоль QRadar, которая выступает центральным компонентом, вокруг которого складываются воедино прочие составляющие; в зависимости от имеющихся требований в данную консоль могут добавляться иные компоненты QRadar. Кроме того, мы подробно поясняем различные типы имеющихся развёртываний - а именно, комплексного и распределённого развёртываний.
Глава 3. Управление развёртываниями QRadar имеет дело с установкой, обновлением и масштабированием в случае такой необходимости QRadar. Также мы обсуждаем требования лицензирования в QRadar.
Глава 4.Интеграция журналов и потоков в QRadar обсуждает практические стороны усвоения данных в QRadar. Существуют различные способы, которыми поглощаются различные типы событий и потоков данных, которые подробно описываются в данной главе.
Глава 5. Не проходим мимо каких бы то ни было данных изучает как данные обрабатываются в QRadar. Большинство недостатков при работе QRadar происходят при поглощении данных. Мы также обсудим Редактор DSM, инструмент для усвоения данных, которое не поддерживается сразу после установки.
Глава 6. Досмотрщики QRadar обсуждает как работают досмотрщики и как они могут настраиваться в QRadar. Управление сведениями безопасности и событиями (SIEM) эффективно лишь настолько, насколько действенно выполняется в них досмотр. Также мы рассмотрим различные типы досмотра в QRadar и то, как в нём работает накопление данных.
Глава 7. Правила и проступки QRadar окунается в одну из наиболее фундаментальных сторон QRadar, а именно, в правила и проступки. Мы обсудим различные типы правил, как запускать правила для исторически накопленных данных, именуемых исторической корреляцией, как генерируются проступки и, наконец, как настраивать правила и проступки и управлять ими.
Глава 8. Внутренние угрозы - выявление и смягчение последствий изучает как может применяться UBA для выявления внутренних угроз в вашей организации. IBM обладает общедоступным порталом, в котором публикуются прикладные приложения, которые могут выгружаться и устанавливаться в QRadar. Некоторые из этих прикладных приложений созданы IBM, в то же время прочие производители подняли прикладные приложения для собственных применений. UBA IBM это одно из таких прикладных приложений, разработанное IBM для управления внутренними угрозами.
Глава 9. Интеграция ИИ в диспетчер угроз обсуждает три прикладных приложения QRadar - прикладного приложения Assistant QRadar, Консультант QRadar для Watson и Диспетчер вариантов QRadar. Также мы обсудим практические случаи применения этих прикладных приложений.
Глава 10. Повторное проектирование практики пользователя изучает как пользоваться прикладными приложениями для улучшения практического опыта пользователей. Когда речь заходила о взаимодействии с пользователем, IBM QRadar нуждался в капитальной перестройке. Поэтому IBM разработала такие прикладные приложения как IBM QRadar Pulse и IBM Analyst Workflow для изменения способа управления QRadar, который мы и рассмотрим в данной главе.
Глава 11. WinCollect - агент для Windows сосредотачивается на том, как устанавливать, обновлять т выполнять тонкую настройку агентов WinCollect, одну из многочисленных встроенных функциональных возможностей QRadar IBM. WinCollect это агент для операционной системы Windows и для сбора событий с машин Windows. Он также способен опрашивать события с прочих машин Windows, в которых он не установлен и отправлять их в QRadar.
Глава 12. Устранение неисправностей QRadar исследует болевые точки и решения многих проблем в QRadar, исходя из многолетнего опыта работы с ним. Здесь есть советы и рекомендации, а также список часто задаваемых вопросов по QRadar. Эта глава должна помочь вам стать профессиональным пользователем QRadar.
| Обсуждаемые в данной книге программные/ аппаратные средства | Требования операционной системы |
|---|---|
Компоненты и службы QRadar |
Windows, macOS или Linux - для просмотра навигатором и регистрации в интерфейсе командной строки |
WinCollect |
RHEL – для QRadar |
Если вы пользуетесь цифровой версией данной книги, мы рекомендуем набирать код самостоятельно или выполнить доступ к соответствующему коду из репозитория GitHub данной книги (ссылка доступна в следующем разделе). Придерживаясь данного правила вы избежите любых потенциальных ошибок, относящихся к копированию и вставке (copy & past) кода.
Дополнительно мы предоставляем файл PDF, который снабжён цветными изображениями применяемых в данной книге снимков экранов/ схем. Вы можете выгрузит его здесь.
Существует ряд текстовых соглашений, применяемых в этой книге.
CodeInText: Кодовые слова в тексте, имена таблиц базы данных, имена папок, имена файлов, расширения файлов,
имена путей, модели URL-адресов, ввод пользователя, и регулировки Twitter обозначены таким текстом. Например: "Название источника журнала, как здесь определено,
будет cali_ips@9.9.9.9, где cali_ips может быть значением типа устройства, а значение
адреса источника может быть значением IP источника, подхватываемым из полезной нагрузки конкретного события".
Блок кода устанавливается следующим образом:
html, body, #map {
height: 100%;
margin: 0;
padding: 0
}
Когда мы желаем обратить ваше внимание на определённую часть блока кода, соответствующие строка или элементы устанавливаются жирными:
[default]
exten => s,1,Dial(Zap/1|30)
exten => s,2,Voicemail(u100)
exten => s,102,Voicemail(b100)
exten => i,1,Voicemail(s0)
Весь ввод в командной строке записываются следующим образом:
$ mkdir css
$ cd css
Новые термины и важные слова отображаются жирным шрифтом. Слова, которые вы видите на экране, например, в меню или блоках диалогов появляются в тексте следующим образом: "Для этой функциональной возможности вам необходимо разрешить её в закладке Configuration из DSM Editor".
![[Замечание]](/common/images/admon/note.png) | Замечание |
|---|---|
|
Предостережения или важные замечания появляются в блоках подобных этому. |
![[Совет]](/common/images/admon/tip.png) | Совет |
|---|---|
|
Советы и ловкие приёмы возникают таким образом. |
Мы всегда приветствуем обратную связь с читателями.
Общие замечания: просто пошлите электронное письмо на адрес feedback@packtpub.com с упоминанием заголовка книги в теме вашего сообщения. Если у вас имеются вопросы относительно любых сторон данной книги, пожалуйста, пошлите электронное письмо на адрес questions@packtpub.com.
Хотя мы и предприняли все меры чтобы обеспечить точность нашего содержимого, ошибки всё- таки возможны.Если вы обнаружили ошибку в нашей книге, мы будем признательны если вы сообщите об этом нам. Пожалуйста посетите www.packtpub.com/submit-errata, кликните по ссылке Submit Errata, и заполните полученную форму.
Пиратство: Если вы столкнётесь с какой-либо незаконной копией наших работ в любой форме в Интернете, пожалуйста, предоставьте нам сразу адрес местонахождения или имя веб-сайта, чтобы мы могли принять меры. Пожалуйста, обратитесь по адресу copyright@packtpub.com со ссылкой на такие материалы. {Прим. пер.: Согласно закону об авторском праве РФ, авторские права на перевод принадлежат авторам этого перевода. Данным переводом, по нашему мнению, мы служим популяризации основных стратегических направлений развития тем Packt. В случае наличия конструктивных предложений, готовы к тесному сотрудничеству.}
Когда вы заинтересованы в том чтобы стать автором: Если имеется некая тема, в которой вы обладаете опытом и вы заинтересованы либо в написании или содействии в книге, посетите, пожалуйста: http://authors.packtpub.com.
Когда вы прочтёте Building a Next-Gen SOC with IBM QRadar, мы будем рады узнать ваше мнение! Кликните здесь чтобы сразу перейти на страницу обзора данной книги в Amazon и поделиться своим мнением.
Ваш отзыв важен для нас и всего технического сообщества и поможет нам убедиться, что мы предоставляем содержимое отличного качества.
Благодарим Вас за покупку этой книги!
Вы бы хотели читать её на ходу, однако вам невозможно носить везде свои печатные книги?
Что если ваша покупка eBook не совместима с используемым вами устройством?
Не беспокойтесь, теперь совместно с каждой книгой Packt вы бесплатно получаете PDF- версию этой книги без DRM.
Читайте где угодно, в любом месте, на любом устройстве. Находите, копируйте и вставляйте код из ваших любимых технических книг прямо в своё приложение.
На этом не заканчиваются все привилегии, вы можете ежедневно получать доступ к скидкам, информационным бюллетеням и отличному бесплатному содержанию в своём почтовом ящике.
Для получения таких преимуществ следуйте этим простым шагам:
-
Отсканируйте этот QR код или посетите эту ссылку
-
Предоставьте доказательство вашей покупки
-
Это всё! Мы отправим вам бесплатный PDF и прочие преимущества непосредственно в письме вам.
