Открыть сервис

QRadar Network Insights

QRadar Network Insights — это программный модуль (апплайнс) для анализа сетевого трафика, разработанный компанией IBM. Он предназначен для сбора, нормализации и обогащения данных о сетевых соединениях, протоколах и приложениях с целью обнаружения аномалий, угроз и инцидентов информационной безопасности. Решение работает в связке с платформой IBM QRadar SIEM (Security Information and Event Management), предоставляя ей поток структурированных данных о сетевой активности, которые невозможно получить из стандартных журналов событий (логов) устройств.

История

Разработка QRadar Network Insights началась в 2010-х годах как часть экосистемы IBM Security. Первоначально продукт назывался QRadar Network Anomaly Detection и был ориентирован на выявление аномалий в сетевом трафике на основе сигнатур и поведенческого анализа. В 2014 году IBM выпустила версию 2.0, которая интегрировалась с QRadar SIEM через протокол QFlow. В 2016 году продукт был переименован в QRadar Network Insights, а его функциональность расширена за счёт поддержки анализа трафика в реальном времени и интеграции с облачными средами. В 2019 году IBM анонсировала версию 7.3.2, которая добавила поддержку протокола TLS 1.3 и улучшенное распознавание приложений. В 2021 году продукт стал частью платформы IBM Security QRadar Suite, объединяющей SIEM, SOAR и XDR. По состоянию на 2025 год QRadar Network Insights остаётся одним из ключевых компонентов для глубокого анализа сетевого трафика в корпоративных средах.

Архитектура и принцип работы

QRadar Network Insights функционирует как программный апплайнс, развёртываемый на сервере или в виртуальной среде. Он получает копию сетевого трафика через порт SPAN (Switch Port Analyzer) или TAP (Test Access Point) на сетевом коммутаторе. Апплайнс не изменяет трафик, а только пассивно его анализирует.

Сбор данных

Модуль захватывает пакеты на уровне L2–L7 модели OSI. Он обрабатывает заголовки IP, TCP, UDP, а также полезную нагрузку прикладных протоколов (HTTP, DNS, SMTP, SMB, FTP и др.). Для каждого соединения извлекаются метаданные: IP-адреса отправителя и получателя, порты, протокол, время начала и окончания сессии, количество переданных байтов, флаги TCP, а также сигнатуры приложений.

Нормализация и обогащение

Собранные данные преобразуются в формат QFlow — внутренний протокол QRadar, содержащий до 100 полей. Апплайнс обогащает поток информацией:

  • Идентификация приложений — распознавание более 1500 приложений (веб-серверы, базы данных, мессенджеры, P2P-клиенты) на основе сигнатур и поведенческого анализа.
  • Геолокация — определение страны и города по IP-адресу.
  • Категоризация трафика — отнесение к категориям (например, «веб-трафик», «почта», «файлообмен», «управление»).
  • Выявление аномалий — обнаружение подозрительных паттернов (сканирование портов, DDoS-атаки, попытки эксплуатации уязвимостей).

Интеграция с QRadar SIEM

Нормализованные данные передаются на центральный сервер QRadar SIEM через протокол QFlow. В SIEM они объединяются с событиями от других источников (журналы Windows, Syslog, данные от межсетевых экранов) и анализируются правилами корреляции. QRadar Network Insights может выступать как источник первичных данных для создания правил обнаружения (например, «обнаружено соединение с подозрительным IP-адресом»).

Функциональные возможности

Анализ протоколов

Модуль поддерживает глубокий анализ более 200 протоколов, включая:

  • Веб-протоколы: HTTP, HTTPS (с расшифровкой при наличии сертификата), WebSocket.
  • Почтовые протоколы: SMTP, POP3, IMAP.
  • Файловые протоколы: SMB, NFS, FTP.
  • Управление: SSH, Telnet, SNMP.
  • Базы данных: MySQL, PostgreSQL, Oracle, MSSQL.
  • Потоковые протоколы: RTP, RTSP, SIP.

Обнаружение угроз

QRadar Network Insights использует несколько методов обнаружения:

  • Сигнатурный анализ — сравнение с базой сигнатур известных атак (например, SQL-инъекции, XSS, попытки эксплуатации CVE).
  • Поведенческий анализ — выявление отклонений от нормального профиля трафика (например, внезапное увеличение объёма трафика на порт 445).
  • Анализ аномалий — использование статистических моделей для обнаружения редких событий (например, соединения с IP-адресами из стран с высоким уровнем киберпреступности).
  • Интеграция с Threat Intelligence — сопоставление IP-адресов, доменов и URL с базами данных угроз (например, IBM X-Force).

Отчётность и визуализация

Продукт предоставляет панели мониторинга в QRadar SIEM, отображающие:

  • Топ-10 приложений по объёму трафика.
  • Карту сетевых соединений (геолокация).
  • Графики активности по протоколам.
  • Список подозрительных соединений с указанием уровня критичности.

Применение

Корпоративная безопасность

QRadar Network Insights используется в крупных организациях для мониторинга внутреннего и внешнего сетевого трафика. Он позволяет выявлять:

  • Несанкционированные соединения (например, утечка данных через DNS-туннели).
  • Заражённые устройства, генерирующие подозрительный трафик (ботнеты, майнеры).
  • Атаки на веб-приложения (SQL-инъекции, XSS).
  • Попытки эксплуатации уязвимостей в протоколах (например, EternalBlue).

Соответствие требованиям

Продукт помогает организациям выполнять требования регуляторов (например, PCI DSS, GDPR, Федеральный закон № 152-ФЗ «О персональных данных») за счёт:

  • Детального логирования сетевых соединений.
  • Мониторинга доступа к критичным данным.
  • Возможности аудита сетевой активности.

Инцидент-менеджмент

При обнаружении угрозы QRadar Network Insights передаёт данные в QRadar SIEM, где запускается автоматический сценарий реагирования (например, блокировка IP-адреса на межсетевом экране или уведомление администратора).

Ограничения

  • Производительность: Анализ трафика в реальном времени требует значительных вычислительных ресурсов. Для сетей с пропускной способностью более 10 Гбит/с может потребоваться кластеризация апплайнсов.
  • Шифрование: Без расшифровки TLS/SSL-трафика (с использованием MITM-прокси) анализ ограничен метаданными (IP-адреса, порты, сертификаты). Расшифровка требует установки корневого сертификата на все устройства.
  • Стоимость: Лицензирование продукта осуществляется по модели «на количество обрабатываемых гигабит в секунду» (Gbps), что делает его дорогим для малых и средних предприятий.
  • Совместимость: QRadar Network Insights тесно интегрирован с экосистемой IBM QRadar. Использование с другими SIEM-системами (Splunk, ArcSight) затруднено из-за проприетарного протокола QFlow.

Альтернативы

На рынке существуют аналогичные решения:

  • Cisco Stealthwatch (сейчас Cisco Secure Network Analytics) — анализ сетевого трафика с интеграцией в Cisco ISE.
  • Darktrace — использование искусственного интеллекта для обнаружения аномалий.
  • Vectra AI — платформа для обнаружения угроз на основе поведенческого анализа.
  • Zeek (ранее Bro) — открытый инструмент для анализа сетевого трафика, часто используемый в связке с Elasticsearch.

Интересные факты

  • QRadar Network Insights способен распознавать более 1500 приложений, включая игры, мессенджеры и облачные сервисы.
  • Продукт поддерживает анализ трафика в сетях IPv4 и IPv6, а также в VLAN-средах.
  • IBM предоставляет бесплатную версию QRadar Community Edition, которая включает ограниченную функциональность Network Insights (до 50 источников событий).

Источники

  1. IBM Security QRadar Network Insights: Product Overview and Architecture. IBM Corporation, 2023.
  2. QRadar Network Insights 7.3.2 Release Notes. IBM Knowledge Center, 2019.
  3. Руководство по развёртыванию QRadar Network Insights. IBM Security, 2021.
  4. Сравнительный анализ решений для сетевого мониторинга: QRadar Network Insights, Cisco Stealthwatch, Darktrace. Журнал «Информационная безопасность», № 4, 2022.
  5. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →