QLEAN用于QRadar调整& Health Check

QLEAN for IBM®安全性QRadar®SIEM

最先进的QRadar健康检查和LEAN SOC自动化解决方案可主动改善SIEM性能和维护。

健康检查报告分析

QLEAN用户可以访问包含37个性能和行为指标的综合运行状况检查报告。该报告提供了已识别问题的扩展描述，因此可以帮助安全管理员选择可能的操作来恢复系统的可操作性。

QLEAN生成的每个报告均包含具有以下绩效指标的详细分析：

• 系统状态的控制台摘要（活动日志源和资产的数量，可用的存储和内存，前十大独特攻击）。
• EPS和FPI统计信息。
• 事件和流程时间表。
• 托管主机上的磁盘，CPU和内存使用情况。
• 日志源统计信息。
• 传入日志数据质量。
• 相关规则和报告性能等。

使用健康标记进行诊断

标记画出了系统的准确肖像，并强调了以下重要方面：

• 关键修改日志源
• 存在未分类或未知事件
• 相关规则中的错误
• 相关规则执行时间过长
• 相关规则响应慢
• 检测到自动更新错误

完美的性能

QLEAN通过显示应该微调或重新配置的痛点来提供系统的全面概况，以确保更高级别的保护：

• EPS和FPM时间表 反映一定时间内系统内处理的事件和流量的数量，从而在启用的许可证与进入系统的实际数据数量不匹配时提醒安全专家。
• 活动和规则 揭示指定时间范围内每种日志类型的平均EPS和峰值EPS，以及显示快速执行相关规则的时间，响应时间，每个相关规则的响应数等。因此，安全管理员可以优化配置错误或使用不正确的规则资源过多。
• 犯罪分析 有助于识别产生异常数量的假阳性的相关规则，因此需要进行微调。
• 大量报告 描述需要花费最长时间生成的报告，该报告指出了将要消除的错误。

同类数据

QLEAN有助于提高从众多日志源收集的数据的质量。这样可以最大程度地减少由于日志源配置错误而导致丢失重要日志数据以及忽略严重安全漏洞的风险。通过专用的性能指标，用于IBM QRadar 西门子的QLEAN通知安全管理员有关以下方面的信息：

• 由未知/不受支持的日志源生成的数据。
• 配置错误的日志源显示安全事件的覆盖范围不足。
• 恶意错误地配置了日志源。
• 禁用的日志源不会产生任何安全事件，等等。

简化维护

该工具的高级操作分析使CISO能够遵循主动的信息安全策略，并且无需创建自定义脚本和其他报告工具。这样，安全专家就可以以较少的时间，精力和预算来维护该平台，从而提高QRadar的性能。

该工具使内部安全专家可以快速，及时地改善QRadar部署，从而使公司可以维持出色的网络保护。