La dernière version d’IBM QRadar SIEM, The V 7.3.3 est la version préliminaire des 7.4 attendus d’ici la fin du premier trimestre 2020. Il comprend des améliorations dans les performances, le flux de travail des analystes, la sécurité des produits, et essentiellement l’expérience utilisateur. La mise à niveau est simple, grâce à un script fourni par IBM qui, à partir de la console, met à jour l’ensemble de déploiement.
Voici quelques éléments qui, à notre avis, font qu’il est intéressant de mettre à jour cette version alors que le long terme 7.4 est publié dans les prochains mois.
Prise en charge des paires de clés et de valeurs dans l’éditeur DSM.
Jusqu’à présent, lors de la création d’une source de journal manuellement, nous avions besoin d’utiliser des expressions régulières pour extraire chacun des champs. En commençant par la version 7.3.3, il est possible d’utiliser des délimiteurs simples du type de clé – valeur. Cela va plus loin que l’amélioration du traitement des événements dans le format QRadar 7.3.2 CEF et LEEF, qui a permis pour la première fois de détecter automatiquement de nouvelles propriétés. En outre, les utilisateurs avec des autorisations peuvent enregistrer que les «propriétés personnalisées» directement à partir de l’éditeur DSM, gagner du temps et de faciliter l’ensemble du processus. Enfin, une option a été mise en œuvre pour exporter des configurations à partir de nouvelles sources de journal du même éditeur.
Améliorations des flux (flux)
Cette version détecte les informations VxLAN qui sont présentes dans les paquets qui sont envoyés à QFlow (via Azure vTap, Technocrat
ou carte de surveillance, ou NIC) est extrait et ajouté aux journaux de flux QRadar.
Quoi de neuf dans Network Insights
Network Insights a amélioré le module qui inspecte les connexions RDP en détectant le type de cryptage utilisé et a ajouté un module pour détecter les connexions rsh, rexec et rlogin. Une autre amélioration intéressante est que dorénavant tous les protocoles: NFS , POP, SSL, TSL, HTTP, SSH, RDP, etc sont détectés accompagnés de leur version, comme indiqué dans ce tableau.
Qu’est-ce qui nous attend dans la version 7.4 ?
La sortie du QRadar 7.4 est prévue pour le premier trimestre de 2020 et comprendra des améliorations majeures. Cette version sera basée sur Red Hat Enterprise Linux 7.7. Il est prévu de prendre en charge Python 3.X et, comme une curiosité, il n’est pas clair qu’il est compatible dans les navigateurs Internet Explorer. Il est important de noter qu’il s’agit d’une mise à jour majeure, avec des modifications à la version de base du système d’exploitation. Cela implique des tâches supplémentaires et des précautions supplémentaires.
Si vous servez plusieurs clients de votre SOC et utilisez QRadar, vous avez de la chance. Il ya beaucoup d’espoir que nous allons enfin voir des améliorations significatives à l’interface graphique avec une mise à jour plus grande du cadre d’application qui fournit un soutien complet multi-tenancy. Toutefois, les applications devront être mises à jour pour être entièrement compatibles. Il est connu que l’équipe de développement UBA travaille déjà sur une mise à jour qui, en utilisant ces fonctions, permet de segmenter les données de comportement des utilisateurs par client et domaine.
En fait, ce sont les entreprises qui fourniront des services SOC virtuels ou distants dans des environnements multi-clients qui bénéficieront le plus des nouvelles fonctionnalités de la version 7.4. Dans un autre post, nous allons parler plus à ce sujet et comment intégrer QRadar dans les environnements semi-automatisés d’intervention en cas d’incident grâce à différentes solutions SOAR comme Resilient IRP. L’avenir des SOC sera de continuer à intégrer des outils et à automatiser les processus,comme cela a été fait pendant des années dans les environnements distribués avec la mise en œuvre des méthodologies DevOps et SysOps.
Si vous voulez en savoir plus sur cette solution, chez Sixe nous offrons des services de formation, de conseil et de support technique pour IBM QRadar SIEM. Nous vendons et déployons également, migrons et intégrons QRadar dans tous les types d’environnements et de clients.
Contactez-nous
si vous avez besoin de notre aide :)