Noch kein Nutzer?
Anmelden Kostenlos registrieren Produkt vorschlagen
Update

Unterstützung für Tiered Storage

QRadar-Plattform für SicherheitsinformationenQRadar-Plattform für Sicherheitsinformationen
IBM

QRadar 7.5.0 Update-Paket 14

Unterstützung für Tiered Storage
Ein neuer Ansatz zur Verwaltung von QRadar (Ariel)-Daten verbessert die Suchleistung und die Betriebskosten und umfasst.

  • Hot und Warm Tiers - Neu aufgenommene Daten werden für einen schnellen Zugriff im Hot Tier gespeichert und mit zunehmendem Alter automatisch in den Warm Tier migriert, basierend auf einer definierten Datenmigrationsrichtlinie.
  • Verbesserte Leistung und Effizienz - Durch den schnellen Zugriff auf aktuelle Daten und die Verlagerung älterer Daten auf kostengünstigeren Speicher trägt Tiered Storage zu einem ausgewogenen Verhältnis zwischen Suchgeschwindigkeit, Kosten und Platzbedarf bei.

Verbesserte Leistung in den Pipelines (Parsing, CRE) zur Reduzierung des Routings zum Speicher
QRadar trifft jetzt in der Datenverarbeitungspipeline Entscheidungen über das Routing zum Speicher, indem es die Verarbeitungsauslastung der Parsing- und CRE-Thread-Pools berücksichtigt. Durch diese Verbesserung wird die Anzahl der falsch-positiven Weiterleitungen an den Speicher deutlich reduziert und die Sicherheitslage durch die Minimierung von unparsed und unkorrelierten Ereignissen gestärkt.

Verbesserte Fähigkeit zur Behandlung von Ereignis- oder Flow-Bursts beim Start der Dienste
Die QRadar-Pipeline-Dienste für die Datenverarbeitung weisen jetzt beim Start Prozessspeicher zu, was die Leistung und Stabilität dieser Echtzeitprozesse verbessert. Diese
verbessert die Behandlung von Ereignisspitzen nach dem Start der Dienste.

Leistungsoptimierung für die Pipeline-Planung
Die Leistung des Ariel Database Writers wurde in zusätzlichen Konfigurationen verbessert, wodurch die Geschwindigkeit des Schreibens von Ereignissen und Datenströmen sowie die Leistung der Datenverarbeitungspipeline erhöht wurde. Die ursprüngliche Arbeit, die in QRadar UP11 eingeführt wurde, galt nur für die Appliance-Typen 1629, 1648, 1729 und 1748 bei Verwendung der Appliance-Installation. QRadar UP14 erweitert den Umfang der Verbesserungen auf alle 31xx, 16xx, 17xx, 18xx und 14xx Hosts mit mindestens 32 C Pus.

LVM Phase 2
Diese Version führt Erweiterungen ein, die sich auf die Verbesserung der Verwaltung von Logical Volume Management (LVM) auf in der Appliance installierten Systemen konzentrieren. Die wichtigsten Bereiche der Verbesserungen sind die Ermöglichung der LVM-Erweiterung für Appliance-Installationen.

Verbesserte Sichtbarkeit und Benutzererfahrung für benutzerdefinierte AQL-Abfragen in verwalteten Suchergebnissen
In früheren QRadar-Versionen wurden benutzerdefinierte AQL-Suchen auf dem Bildschirm mit den verwalteten Suchergebnissen allgemein als "Benutzerdefinierte AQL-Abfrage" bezeichnet, ohne dass die tatsächliche Abfragelogik sichtbar war, bis der Benutzer auf die Suche klickte. Diese Erweiterung verbessert die Benutzerfreundlichkeit durch:

  • Ersetzen des generischen Namens "Benutzerdefinierte AQL-Abfrage" durch den tatsächlichen AQL-Abfrage-String für benutzerdefinierte AQL-Suchen
  • Anzeige der vollständigen AQL-Abfrage in einem Tooltip bei Hover
  • Hinzufügen einer Schaltfläche "In die Zwischenablage kopieren" zur schnellen und erneuten Verwendung.
    Diese Verbesserungen rationalisieren die Benutzererfahrung und machen benutzerdefinierte AQL
    Suchen effizienter.

Erweiterungen der verwalteten Suchergebnisse
Der Bildschirm mit den verwalteten Suchergebnissen enthält jetzt visuelle Indikatoren für Suchvorgänge, die langsam und teuer sind und die Effizienz des Systems beeinträchtigen können und umfasst:

  • Nicht indizierte Felder - Suchvorgänge, die keine indizierten Felder verwenden, werden gekennzeichnet, um mögliche Leistungsengpässe hervorzuheben.
  • Verwendung von Mustervergleichen ohne zusätzliche Filter - Suchvorgänge, die die Operationen "Nutzlast enthält" oder "Nutzlast stimmt überein" verwenden, werden aufgrund ihrer Ineffizienz und ihres potenziell hohen Ressourcenverbrauchs gekennzeichnet.
    Diese Indikatoren helfen den Nutzern, ineffiziente Abfragen zu erkennen und zu überarbeiten, und fördern gute Praktiken für die Erstellung leistungsfähiger Suchen.

Versionshistorie für Regeln
Diese Verbesserung gibt Ihnen die Flexibilität, Änderungen an jeder früheren Version einer Regel rückgängig zu machen, nicht nur an der ursprünglichen, um Aktualisierungen zu verwalten und Fehler zu beheben. Sie können jetzt sehen, wer Änderungen vorgenommen hat, was geändert wurde und wann, so dass Ihr Team vollen Einblick in die Regeländerungen erhält. Die Autoren können eine Notiz hinzufügen, die den Grund für jede Änderung erläutert, damit alle Beteiligten auf dem Laufenden bleiben. Diese Aktualisierungen werden automatisch nachverfolgt und angezeigt, sodass Sie Ihre bestehenden Notizen nicht ändern müssen. Diese Version bringt mehr Transparenz, Verantwortlichkeit und Kontrolle darüber, wie sich Ihre Regeln im Laufe der Zeit ändern.

Erweiterungen für Verstöße
Bei der Erstellung von Regeltests können Sie jetzt Schwellenwerte für die Größenordnung festlegen. Diese Verbesserung hilft Ihnen, Verstöße nach ihrer Kritikalität zu priorisieren, um sich auf die wichtigsten Bedrohungen zu konzentrieren und schneller zu reagieren.

Verbesserte Verfolgung von Verstößen
Mit diesem Update wird nur der letzte Zeitpunkt, an dem ein Verstoß einem Benutzer zugewiesen wurde, zusammen mit dem Zeitstempel der Zuweisung verfolgt.

QRadar (QFlow) - Autonomous System Number (ASN) Informationen
QFlow reichert nun automatisch Netzwerkflüsse mit Autonomous System Number (ASN) Informationen an. Das ASN-Feld wird nun ausgefüllt, was die Fähigkeit eines Analysten erhöht, den Ursprung des IP-Verkehrs zu bestimmen. QRadar führt nun automatisch ASN-Lookups durch und liefert so wertvolle Informationen wie das Netzwerk oder den ISP, der mit jeder IP-Adresse verbunden ist. Die Funktion bietet die folgenden Vorteile:

  • Sofortige Einsicht in die Eigentümerschaft und Herkunft des IP-Verkehrs
  • Schnelle Identifizierung von Datenverkehr aus verdächtigen oder risikoreichen Netzwerken
  • Eliminierung der Notwendigkeit einer manuellen ASN-Anreicherung
  • Verbesserung der Korrelationsregeln und der Erkennung von Bedrohungen durch angereicherte Datenfluss-Metadaten
    Diese Verbesserung hilft Sicherheitsteams, schneller zu reagieren, die Genauigkeit der Triage zu verbessern und den modernen SIEM-Erwartungen an angereicherte, verwertbare Daten gerecht zu werden.

QRadar Risk Manager (QRM) unterstützt Check Point HTTPS-Integration
QRadar Risk Manager empfängt jetzt Firewall-Regel-Ereignisprotokolle direkt von Check Point Security Management Servern (SMS). Diese Erweiterung ermöglicht die Überwachung der Anzahl von Firewall-Regel-Ereignissen in Echtzeit und hilft Kunden, die Effektivität ihrer Firewall-Regel-Policies über alle verwalteten Geräte hinweg zu verwalten und zu optimieren. Die Vorteile sind wie folgt:

  • Identifizierung der am meisten und am wenigsten genutzten Checkpoint HTTPS-Firewall-Regeln
  • Erkennen von Regeln, die den Netzwerkzugang unnötig blockieren können
  • Hervorhebung häufig ausgelöster Regeln, die die Leistung beeinträchtigen könnten
  • Detaillierte Regelereignisdaten zur Analyse anzeigen
  • Planen von Berichten zur Verbesserung des Richtlinienmanagements und der Transparenz
    Diese Funktion hilft Anwendern, Check Point Firewall-Regeln in Echtzeit zu überwachen und zu optimieren, um die Sicherheit und Netzwerkeffizienz zu verbessern.
Weitere UpdatesZum Produkt
Der Hersteller IBM hat sein devicebase Profil noch nicht eingerichtet. Inhalte wie Updates, Kompatibilitäten und Support werden unter Umständen nur verzögert gepflegt.
Erhalten Sie wichtige Update-Nachrichten Bleiben Sie auf dem Laufenden für kommende IBM Updates

Mehr aus dem Bereich Apps, Software & Service

Waren die Inhalte für Sie hilfreich?

Anzeige Hier werben?
Banner Logitech