Открыть сервис

IBM Security QRadar

IBM Security QRadar — это программная платформа для управления информацией о безопасности и событиями (SIEM), разработанная корпорацией IBM. Она предназначена для сбора, нормализации, корреляции и анализа данных о событиях безопасности в реальном времени, а также для обнаружения угроз, расследования инцидентов и обеспечения соответствия нормативным требованиям.

История

Разработка QRadar началась в конце 1990-х годов канадской компанией Q1 Labs, основанной Джеффри Роузом и Томом Генри. Первоначально продукт назывался QRadar и представлял собой систему анализа сетевого трафика и обнаружения аномалий. В 2000-х годах Q1 Labs расширила функциональность QRadar, добавив возможности сбора и корреляции событий от различных источников, что превратило его в полноценную SIEM-систему.

В 2011 году IBM приобрела Q1 Labs за 570 миллионов долларов. После поглощения платформа была переименована в IBM Security QRadar и интегрирована в портфель продуктов IBM Security. С этого момента IBM активно развивала систему, добавляя поддержку облачных сред (включая IBM Cloud, AWS, Azure), машинного обучения для обнаружения угроз (пользовательское и сущностное поведенческое аналитика — UEBA), а также функции автоматизации реагирования на инциденты (SOAR). Последующие крупные обновления включали выпуск QRadar on Cloud и интеграцию с технологиями IBM Watson для анализа на естественном языке.

Архитектура и компоненты

Система QRadar строится по модульному принципу, что позволяет масштабировать её под различные объёмы данных. Основными компонентами являются:

Функциональные возможности

Сбор и обработка данных

QRadar поддерживает сбор данных по множеству протоколов: Syslog, SNMP, JDBC, Log4j, REST API, WMI, а также через агентскую платформу (QRadar DSM — Device Support Module). Список поддерживаемых источников (Device Support Modules) насчитывает более 500 типов устройств и приложений, включая системы Microsoft, Linux, Cisco, Juniper, Palo Alto Networks, Check Point, Oracle, и т.д. Нормализация данных в единую схему обеспечивает унификацию полей (время, тип события, источник, действие, категория).

Корреляция и обнаружение угроз

Корреляция осуществляется на основе:

Расследование инцидентов

Каждое срабатывание правила формирует инцидент — структурированную запись с набором событий-доказательств, временной шкалой, идентификаторами затронутых ресурсов. Пользователь может просматривать детали в консоли, сопоставлять данные из разных источников (логи, потоки, уязвимости), добавлять заметки и назначать ответственных. Интеграция с IBM Security QRadar SOAR (бывшая Resilient) позволяет автоматизировать типовые действия реагирования.

Соответствие требованиям

QRadar содержит встроенные отчёты и правила для проверки соответствия стандартам и регуляторным требованиям: PCI DSS, HIPAA, GDPR, SOX, ISO 27001. Отчёты могут генерироваться автоматически по расписанию, выделяя события, нарушающие контрольные точки.

Развёртывание и масштабирование

QRadar может быть развёрнут в трёх моделях:

  1. On-premise (локальное развёртывание): все компоненты устанавливаются на физические серверы или виртуальные машины под управлением RHEL или CentOS. Масштабируется добавлением новых процессоров и хранилищ. Примерная максимальная производительность — до 1 млн событий в секунду (EPS) и до 1 млн потоков в минуту.
  2. Cloud (QRadar on Cloud): полностью управляемый сервис (SaaS), размещённый в облаке IBM. Клиент арендует вычислительные мощности. Масштабирование происходит автоматически за счёт облачной инфраструктуры.
  3. Гибридное развёртывание: часть сборщиков или процессоров может работать в облаке, а хранилище и консоль — локально, или наоборот.

Интеграции и партнёрства

IBM QRadar поддерживает интеграцию с широким кругом сторонних продуктов через:

Критика и ограничения

Среди недостатков QRadar пользователи и аналитики отмечают:

Применение в России

В России IBM Security QRadar используется преимущественно в крупных компаниях финансового сектора, телекоммуникационных операторов и промышленных холдингов. Однако после геополитических событий 2022 года и ухода ряда западных вендоров с российского рынка, отмечается снижение новых внедрений и рост интереса к отечественным SIEM-решениям (MaxPatrol SIEM компании Positive Technologies, R-Vision SIEM, KUMA). Тем не менее, существующие инсталляции QRadar продолжают поддерживаться интеграторами и сертифицированными партнёрами IBM в рамках имеющихся лицензий.

Интересные факты

---

Источники

  1. IBM Corporation. IBM Security QRadar Architecture and Deployment Guide. IBM Knowledge Center, 2020–2023.
  2. Gartner, Inc. Magic Quadrant for Security Information and Event Management. 2021, 2022, 2023.
  3. OWASP Foundation. IBM QRadar SIEM – Overview and Security Considerations. 2022.
  4. Руководство пользователя IBM Security QRadar SIEM, версия 7.5.0, 2023.
  5. Отчёты аналитических агентств IDC по рынку SIEM в Восточной Европе, 2022–2024.
  6. Публичные данные IBM о функциях UEBA и потоках в QRadar, ibm.com/docs/en/qsip.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →