QRadar Network Insights
QRadar Network Insights — это программный модуль (апплайнс) для анализа сетевого трафика, разработанный компанией IBM. Он предназначен для сбора, нормализации и обогащения данных о сетевых соединениях, протоколах и приложениях с целью обнаружения аномалий, угроз и инцидентов информационной безопасности. Решение работает в связке с платформой IBM QRadar SIEM (Security Information and Event Management), предоставляя ей поток структурированных данных о сетевой активности, которые невозможно получить из стандартных журналов событий (логов) устройств.
История
Разработка QRadar Network Insights началась в 2010-х годах как часть экосистемы IBM Security. Первоначально продукт назывался QRadar Network Anomaly Detection и был ориентирован на выявление аномалий в сетевом трафике на основе сигнатур и поведенческого анализа. В 2014 году IBM выпустила версию 2.0, которая интегрировалась с QRadar SIEM через протокол QFlow. В 2016 году продукт был переименован в QRadar Network Insights, а его функциональность расширена за счёт поддержки анализа трафика в реальном времени и интеграции с облачными средами. В 2019 году IBM анонсировала версию 7.3.2, которая добавила поддержку протокола TLS 1.3 и улучшенное распознавание приложений. В 2021 году продукт стал частью платформы IBM Security QRadar Suite, объединяющей SIEM, SOAR и XDR. По состоянию на 2025 год QRadar Network Insights остаётся одним из ключевых компонентов для глубокого анализа сетевого трафика в корпоративных средах.
Архитектура и принцип работы
QRadar Network Insights функционирует как программный апплайнс, развёртываемый на сервере или в виртуальной среде. Он получает копию сетевого трафика через порт SPAN (Switch Port Analyzer) или TAP (Test Access Point) на сетевом коммутаторе. Апплайнс не изменяет трафик, а только пассивно его анализирует.
Сбор данных
Модуль захватывает пакеты на уровне L2–L7 модели OSI. Он обрабатывает заголовки IP, TCP, UDP, а также полезную нагрузку прикладных протоколов (HTTP, DNS, SMTP, SMB, FTP и др.). Для каждого соединения извлекаются метаданные: IP-адреса отправителя и получателя, порты, протокол, время начала и окончания сессии, количество переданных байтов, флаги TCP, а также сигнатуры приложений.
Нормализация и обогащение
Собранные данные преобразуются в формат QFlow — внутренний протокол QRadar, содержащий до 100 полей. Апплайнс обогащает поток информацией:
- Идентификация приложений — распознавание более 1500 приложений (веб-серверы, базы данных, мессенджеры, P2P-клиенты) на основе сигнатур и поведенческого анализа.
- Геолокация — определение страны и города по IP-адресу.
- Категоризация трафика — отнесение к категориям (например, «веб-трафик», «почта», «файлообмен», «управление»).
- Выявление аномалий — обнаружение подозрительных паттернов (сканирование портов, DDoS-атаки, попытки эксплуатации уязвимостей).
Интеграция с QRadar SIEM
Нормализованные данные передаются на центральный сервер QRadar SIEM через протокол QFlow. В SIEM они объединяются с событиями от других источников (журналы Windows, Syslog, данные от межсетевых экранов) и анализируются правилами корреляции. QRadar Network Insights может выступать как источник первичных данных для создания правил обнаружения (например, «обнаружено соединение с подозрительным IP-адресом»).
Функциональные возможности
Анализ протоколов
Модуль поддерживает глубокий анализ более 200 протоколов, включая:
- Веб-протоколы: HTTP, HTTPS (с расшифровкой при наличии сертификата), WebSocket.
- Почтовые протоколы: SMTP, POP3, IMAP.
- Файловые протоколы: SMB, NFS, FTP.
- Управление: SSH, Telnet, SNMP.
- Базы данных: MySQL, PostgreSQL, Oracle, MSSQL.
- Потоковые протоколы: RTP, RTSP, SIP.
Обнаружение угроз
QRadar Network Insights использует несколько методов обнаружения:
- Сигнатурный анализ — сравнение с базой сигнатур известных атак (например, SQL-инъекции, XSS, попытки эксплуатации CVE).
- Поведенческий анализ — выявление отклонений от нормального профиля трафика (например, внезапное увеличение объёма трафика на порт 445).
- Анализ аномалий — использование статистических моделей для обнаружения редких событий (например, соединения с IP-адресами из стран с высоким уровнем киберпреступности).
- Интеграция с Threat Intelligence — сопоставление IP-адресов, доменов и URL с базами данных угроз (например, IBM X-Force).
Отчётность и визуализация
Продукт предоставляет панели мониторинга в QRadar SIEM, отображающие:
- Топ-10 приложений по объёму трафика.
- Карту сетевых соединений (геолокация).
- Графики активности по протоколам.
- Список подозрительных соединений с указанием уровня критичности.
Применение
Корпоративная безопасность
QRadar Network Insights используется в крупных организациях для мониторинга внутреннего и внешнего сетевого трафика. Он позволяет выявлять:
- Несанкционированные соединения (например, утечка данных через DNS-туннели).
- Заражённые устройства, генерирующие подозрительный трафик (ботнеты, майнеры).
- Атаки на веб-приложения (SQL-инъекции, XSS).
- Попытки эксплуатации уязвимостей в протоколах (например, EternalBlue).
Соответствие требованиям
Продукт помогает организациям выполнять требования регуляторов (например, PCI DSS, GDPR, Федеральный закон № 152-ФЗ «О персональных данных») за счёт:
- Детального логирования сетевых соединений.
- Мониторинга доступа к критичным данным.
- Возможности аудита сетевой активности.
Инцидент-менеджмент
При обнаружении угрозы QRadar Network Insights передаёт данные в QRadar SIEM, где запускается автоматический сценарий реагирования (например, блокировка IP-адреса на межсетевом экране или уведомление администратора).
Ограничения
- Производительность: Анализ трафика в реальном времени требует значительных вычислительных ресурсов. Для сетей с пропускной способностью более 10 Гбит/с может потребоваться кластеризация апплайнсов.
- Шифрование: Без расшифровки TLS/SSL-трафика (с использованием MITM-прокси) анализ ограничен метаданными (IP-адреса, порты, сертификаты). Расшифровка требует установки корневого сертификата на все устройства.
- Стоимость: Лицензирование продукта осуществляется по модели «на количество обрабатываемых гигабит в секунду» (Gbps), что делает его дорогим для малых и средних предприятий.
- Совместимость: QRadar Network Insights тесно интегрирован с экосистемой IBM QRadar. Использование с другими SIEM-системами (Splunk, ArcSight) затруднено из-за проприетарного протокола QFlow.
Альтернативы
На рынке существуют аналогичные решения:
- Cisco Stealthwatch (сейчас Cisco Secure Network Analytics) — анализ сетевого трафика с интеграцией в Cisco ISE.
- Darktrace — использование искусственного интеллекта для обнаружения аномалий.
- Vectra AI — платформа для обнаружения угроз на основе поведенческого анализа.
- Zeek (ранее Bro) — открытый инструмент для анализа сетевого трафика, часто используемый в связке с Elasticsearch.
Интересные факты
- QRadar Network Insights способен распознавать более 1500 приложений, включая игры, мессенджеры и облачные сервисы.
- Продукт поддерживает анализ трафика в сетях IPv4 и IPv6, а также в VLAN-средах.
- IBM предоставляет бесплатную версию QRadar Community Edition, которая включает ограниченную функциональность Network Insights (до 50 источников событий).
Источники
- IBM Security QRadar Network Insights: Product Overview and Architecture. IBM Corporation, 2023.
- QRadar Network Insights 7.3.2 Release Notes. IBM Knowledge Center, 2019.
- Руководство по развёртыванию QRadar Network Insights. IBM Security, 2021.
- Сравнительный анализ решений для сетевого мониторинга: QRadar Network Insights, Cisco Stealthwatch, Darktrace. Журнал «Информационная безопасность», № 4, 2022.
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →