Académique Documents
Professionnel Documents
Culture Documents
IBM QRadar CE :
Guide de Déploiement
pour Renforcer la
Sécurité Informatique
Réalisé par :
Khalid AMATOCH
1
Khalid-AMATOCH
Table of Contents
CHAPITRE 1- INTRODUCTION ................................................................................................................................. 3
2
Khalid-AMATOCH
Chapitre 1- Introduction
À travers des explications détaillées, des exemples pratiques et des démonstrations pratiques, ce document vise à :
• Mettre en lumière le rôle crucial des solutions SIEM telles que QRadar dans la protection des actifs
organisationnels contre les menaces cybernétiques en constante évolution.
• Équiper les lecteurs d'une compréhension approfondie des capacités de QRadar, les dotant ainsi du pouvoir
d'exploiter pleinement son potentiel pour la détection des menaces, la réponse aux incidents et la gestion de la
conformité.
• Fournir des informations pratiques sur la mise en place d'un environnement de laboratoire, la configuration de
l'ingestion de journaux à partir de sources diverses et l'utilisation du moteur d'analyse robuste de QRadar pour
détecter et répondre aux incidents de sécurité.
• Présenter des cas d'utilisation concrets où QRadar s'avère essentiel pour renforcer les défenses, atténuer les
risques et améliorer la posture globale en matière de cybersécurité.
3
Khalid-AMATOCH
En détails, IBM QRadar se distingue par plusieurs caractéristiques qui en font un choix de prédilection pour les
entreprises soucieuses de leur sécurité :
• Analyse avancée des données : QRadar est équipé d'algorithmes sophistiqués et de capacités d'analyse
avancées qui lui permettent de détecter les menaces émergentes et les comportements malveillants dans les
environnements informatiques les plus complexes.
• Intégration complète : QRadar s'intègre harmonieusement avec une multitude de sources de données, de
solutions de sécurité tierces et d'outils d'automatisation, offrant ainsi une visibilité centralisée et une gestion
simplifiée de la sécurité.
• Automatisation des réponses : QRadar permet l'automatisation des processus de réponse aux incidents, ce qui
réduit considérablement les temps de détection et de réaction aux menaces, renforçant ainsi la posture de
sécurité globale de l'organisation.
• Scalabilité et flexibilité : Avec sa capacité à s'adapter à des environnements informatiques de toutes tailles,
QRadar peut évoluer avec les besoins de l'entreprise, offrant une solution SIEM robuste et évolutive pour les
organisations de toutes tailles.
• Gestion de la conformité : QRadar facilite la conformité aux réglementations et normes de sécurité en
fournissant des rapports détaillés et des fonctionnalités d'audit avancées, permettant aux organisations de
démontrer leur conformité et de répondre aux exigences d'audit.
En tant que leader de confiance dans le domaine de la cybersécurité, IBM QRadar continue d'innover et de repousser les
limites pour offrir des solutions de sécurité de pointe, garantissant ainsi la protection des données et des actifs critiques
des organisations contre les menaces cybernétiques de plus en plus sophistiquées.
4
Khalid-AMATOCH
La Gestion de l'Information et des Événements de Sécurité (SIEM) est un élément essentiel de l'infrastructure de
cybersécurité moderne. Elle combine deux fonctions principales : la Gestion de l'Information de Sécurité (SIM) et la
Gestion des Événements de Sécurité (SEM), fournissant ainsi une plateforme centralisée pour la collecte, l'analyse et la
surveillance des données de journalisation, des événements de sécurité et des alertes.
Le SIEM est un outil vital pour les analystes du Centre des Opérations de Sécurité (SOC), leur permettant de rassembler,
analyser et stocker efficacement les fichiers journaux générés par divers terminaux, serveurs, dispositifs réseau et
ressources cloud.
En utilisant des technologies avancées telles que l'intelligence artificielle et l'apprentissage automatique, le SIEM
automatise de nombreux processus de détection d'incidents et de détection de menaces. Les principales technologies
intégrées aux solutions SIEM comprennent l'Analyse du Comportement des Entités Utilisatrices (UEBA) et la Réponse,
l'Automatisation et l'Orchestration de la Sécurité (SOAR).
5
Khalid-AMATOCH
• Agrégation de Données : Collecte les données de journalisation à partir de sources diverses telles que les bases
de données, les applications, les serveurs, les pares-feux et les routeurs, pour une analyse centralisée.
• Corrélation et Surveillance de la Sécurité : Utilise des règles de corrélation prédéfinies et définies par
l'utilisateur pour analyser les fichiers journaux, permettant aux analystes du SOC de surveiller les activités
suspectes et de générer des alertes.
• Analyse Médico-légale : Identifie la cause première des incidents de sécurité et fournit une analyse détaillée
pour la réponse aux incidents.
• Tableau de Bord : Fournit des visualisations pour examiner les données d'événements et identifier facilement
les schémas.
• Renseignements sur les Menaces : Permet la chasse aux menaces à travers le réseau pour identifier et atténuer
les menaces en utilisant des indicateurs de compromission (IOCs).
• Détection et Réponse aux Incidents : Utilise diverses technologies, notamment la corrélation d'événements, les
renseignements sur les menaces et l'UEBA pour identifier et répondre aux incidents de sécurité.
• Automatisation du SOC : Les solutions SIEM avancées automatisent les processus de réponse aux incidents
grâce à la Réponse, à l'Automatisation et à l'Orchestration de la Sécurité (SOAR).
• Gestion de la Conformité IT : Stocke les données de journalisation pour les pistes de vérification et génère des
rapports de conformité pour les réglementations telles que le GDPR, HIPAA, PCI DSS et ISO 27001.
6
Khalid-AMATOCH
Le fonctionnement de la plateforme de sécurité QRadar se compose de trois couches, et s'applique à toute structure de
déploiement QRadar, quelle que soit sa taille et sa complexité. Le diagramme suivant montre les couches qui composent
l'architecture de QRadar.
Les données sont analysées et normalisées avant d'être transmises à la couche de traitement. Lorsque les données
brutes sont analysées, elles sont normalisées pour les présenter dans un format structuré et utilisable.
La fonctionnalité principale de QRadar SIEM se concentre sur la collecte de données d'événements et de flux.
• Les données d'événements représentent des événements qui se produisent à un moment donné dans
l'environnement de l'utilisateur, tels que les connexions d'utilisateurs, les e-mails, les connexions VPN, les refus
de pare-feu, et tout autre événement que vous souhaitez enregistrer dans vos journaux de périphériques.
• Les données de flux sont des informations sur l'activité réseau ou sur la session entre deux hôtes sur un réseau,
que QRadar traduit en enregistrements de flux.
7
Khalid-AMATOCH
Les données d'événements et de flux peuvent être traitées par une appliance Tout-en-un sans nécessiter l'ajout de
Processeurs d'Événements ou de Processeurs de Flux. Si la capacité de traitement de l'appliance Tout-en-un est
dépassée, vous devrez peut-être ajouter des Processeurs d'Événements, des Processeurs de Flux ou toute autre
appliance de traitement pour gérer les besoins supplémentaires. Vous pourriez également avoir besoin d'une capacité
de stockage supplémentaire, qui peut être gérée en ajoutant des Nœuds de Données. D'autres fonctionnalités telles que
QRadar Risk Manager (QRM), QRadar Vulnerability Manager (QVM), ou QRadar Incident Forensics collectent différents
types de données et fournissent davantage de fonctions.
• QRadar Risk Manager collecte la configuration de l'infrastructure réseau et fournit une carte de la topologie de
votre réseau. Vous pouvez utiliser les données pour gérer les risques en simulant divers scénarios réseau en
modifiant les configurations et en implémentant des règles dans votre réseau.
• QRadar Vulnerability Manager pour scanner votre réseau et traiter les données de vulnérabilité ou gérer les
données de vulnérabilité collectées par d'autres scanners tels que Nessus et Rapid7.
• Les données de vulnérabilité collectées sont utilisées pour identifier divers risques de sécurité dans votre réseau.
Utilisez QRadar Incident Forensics pour effectuer des enquêtes forensiques approfondies et rejouer des sessions
réseau complètes.
Les utilisateurs peuvent effectuer des recherches et gérer les tâches d'administration de sécurité de leur réseau depuis
l'interface utilisateur sur la Console QRadar. Dans un système Tout-en-un, toutes les données sont collectées, traitées, et
stockées sur l'appliance Tout-en-un.
Dans les environnements distribués, la Console QRadar n'effectue pas le traitement des événements et des flux, ni le
stockage. À la place, la Console QRadar est principalement utilisée comme interface utilisateur où les utilisateurs
peuvent l'utiliser pour effectuer des recherches, des rapports, des alertes, et des investigations.
8
Khalid-AMATOCH
Collecte d'événements
• Lorsque le Collecteur d'Événements reçoit les événements à partir de sources de journaux telles que les pares-
feux, les événements sont placés dans des files d'attente d'entrée pour traitement.
• Les tailles des files d'attente varient en fonction du protocole ou de la méthode utilisée, et à partir de ces files
d'attente, les événements sont analysés et normalisés. Le processus de normalisation consiste à transformer les
données brutes en un format qui comporte des champs tels que l'adresse IP que QRadar peut utiliser.
• QRadar reconnaît les sources de journaux connues par l'adresse IP source ou le nom d'hôte contenu dans l'en-
tête.
• QRadar analyse et fusionne les événements provenant de sources de journaux connues en enregistrements. Les
événements provenant de sources de journaux nouvelles ou inconnues qui n'ont pas été détectées dans le passé
sont redirigés vers le moteur d'analyse de trafic (détection automatique).
• Lorsque de nouvelles sources de journaux sont découvertes, un message de demande de configuration pour
ajouter la source de journaux est envoyé à la Console QRadar. Si la détection automatique est désactivée, ou si
vous dépassez votre limite de licence de sources de journaux, les nouvelles sources de journaux ne sont pas
ajoutées.
9
Khalid-AMATOCH
• Le Collecteur d'Événements envoie les données d'événements normalisées au Processeur d'Événements où les
événements sont traités par le Moteur de Règles Personnalisées (CRE). Si les événements correspondent aux
règles personnalisées CRE prédéfinies sur la Console QRadar, le Processeur d'Événements exécute l'action
définie pour la réponse de la règle.
• Le Noyau de Traitement Magistrat (MPC) est responsable de la corrélation des offenses avec les notifications
d'événements provenant de plusieurs composants Processeur d'Événements. Seule la Console QRadar ou
l'appliance Tout-en-Un dispose d'un composant Magistrat.
10
Khalid-AMATOCH
• Firewall pfSense : Le pare-feu pfSense est utilisé pour sécuriser le réseau en contrôlant le trafic entre les
différentes zones du réseau. Il agit comme une passerelle entre l'Internet et le réseau interne de
l'entreprise.
• Zone des postes de travail : Dans cette zone, nous avons des postes de travail connectés, représentant
les utilisateurs et les appareils internes de l'entreprise. Cette zone est protégée par le pare-feu et
contrôle l'accès aux ressources du réseau.
• Zone des serveurs : Cette zone, connue sous le nom de zone des serveurs, est un sous-réseau où sont
hébergés les serveurs et les applications internes de l'entreprise. Dans la zone des serveurs, nous
11
Khalid-AMATOCH
plaçons IBM QRadar, qui agit comme une solution de gestion des informations et des événements de
sécurité (SIEM).
Le tableau suivant présente les fonctionnalités prises en charge dans QRadar Community Edition :
12
Khalid-AMATOCH
1. Créez une machine virtuelle avec le fichier OVA qui répond aux exigences suivantes :
• Minimum : 8 Go de RAM
• Minimum 250 Go d'espace disque
• Minimum 2 cœurs de processeur
• Vous avez besoin d'au moins un adaptateur réseau avec accès à Internet. Votre système doit avoir accès
à Internet, sinon l'installation de la version Community Edition de QRadar échoue.
Remarque : Si vous utilisez une machine virtuelle hébergée localement avec une adresse IP locale, vous devez rediriger
le port 8444 vers le port 443 pour accéder à QRadar dans un navigateur Web. Redirigez le port 2222 vers le port 22 pour
utiliser SSH pour vous connecter à QRadar.
• Vous avez besoin d'adresses IP publiques et privées statiques pour la version Community Edition de
QRadar.
• Le nom d'hôte doit être un nom de domaine pleinement qualifié et ne peut pas dépasser 63 caractères
de longueur.
13
Khalid-AMATOCH
14
Khalid-AMATOCH
Avant de commencer le processus d'installation, nous avons pris en compte les fonctionnalités dont nous aurons besoin
dans notre environnement spécifique et nous avons configuré pfSense en conséquence. Après avoir défini nos besoins,
nous avons téléchargé le fichier ISO de pfSense depuis le site web officiel et commencé le processus d'installation.
Pendant la phase initiale de configuration, nous avons capturé une image de l'écran de configuration où nous avons
défini les paramètres de base, y compris le partitionnement du disque et la configuration du réseau. Une fois ces
paramètres configurés, nous avons laissé l'installation se poursuivre jusqu'à son terme.
15
Khalid-AMATOCH
Comme le montre l'architecture, pfSense disposera de trois interfaces : une pour Internet, une pour le réseau local (LAN)
et une dernière pour la zone démilitarisée (DMZ). J'ai configuré ces interfaces ainsi que plusieurs services.
Remarque : Vous pouvez consulter mon profil pour une mise en œuvre approfondie de pfSense et de ses différents
services si cela vous intéresse.
16
Khalid-AMATOCH
Pour analyser les journaux de pfSense, nous devons télécharger le DSM (Device Support Module) pour le pfSense de
NetGate. Pour expliquer ce qu'est le DSM dans QRadar : Le DSM (Device Support Module) est un ensemble de règles et
de configurations spécifiques à un périphérique ou à une application, conçu pour aider QRadar à interpréter et à
normaliser les événements provenant de diverses sources de données.
En d'autres termes, le DSM permet à QRadar de comprendre les différents formats de journaux et de les présenter de
manière cohérente dans l'interface utilisateur, facilitant ainsi l'analyse et la recherche des événements. QRADAR-DSM-
NetgatePfSense
J'ai rencontré un problème lors de l'installation du DSM pfSense en raison de problèmes de compatibilité avec les
modules. Pour résoudre ce problème, j'ai dû installer les dernières mises à jour de QRadar CE. Si vous rencontrez des
problèmes avec la vérification des mises à jour automatiques, vous pouvez consulter cette ressource : ici.
Figure 14 Autoupdate
17
Khalid-AMATOCH
Après avoir mis à jour les services et les composants de QRadar, nous avons réussi à ingérer les journaux de pfSense,
comme le montre l'image ci-dessous.
3.5 Transfert des journaux Windows vers IBM QRadar via WinCollect
L'installation de Windows est simple et directe. Par conséquent, je vais passer à la configuration du flux d'ingestion.
Dans cette section, nous explorerons le processus de transfert des journaux générés par les systèmes Windows vers IBM
QRadar à l'aide de l'outil WinCollect. WinCollect est un agent léger conçu pour collecter et transférer les journaux
Windows vers le système de gestion des informations et des événements de sécurité (SIEM) de QRadar.
Étapes du processus :
1. Installation de WinCollect : Tout d'abord, vous devez installer l'agent WinCollect sur chaque système
Windows que vous souhaitez surveiller. L'installation de WinCollect est simple et peut être effectuée en
suivant les instructions fournies dans la documentation de QRadar.
18
Khalid-AMATOCH
2. Configuration de la collecte de journaux : Une fois WinCollect installé, vous devez le configurer pour
collecter les journaux appropriés à partir des systèmes Windows. Vous pouvez spécifier les types de
journaux à collecter, tels que les journaux de sécurité, les journaux système et les journaux d'application,
en fonction des besoins de surveillance de votre entreprise.
19
Khalid-AMATOCH
3. Configuration du transfert vers QRadar : Après avoir configuré la collecte de journaux, vous devez
configurer WinCollect pour transférer les journaux collectés vers IBM QRadar. Vous devrez spécifier
l'adresse IP ou le nom d'hôte du serveur QRadar ainsi que les informations d'identification nécessaires
pour établir la connexion.
4. Validation de la configuration : Une fois la configuration terminée, il est important de valider que
WinCollect transfère effectivement les journaux vers QRadar. Vous pouvez vérifier cela en surveillant les
journaux de transfert dans les journaux système de Windows et en vérifiant la réception des événements
dans QRadar.
5. Surveillance continue : Enfin, assurez-vous de surveiller régulièrement le processus de transfert des
journaux pour détecter tout problème ou toute anomalie. Il est recommandé de configurer des alertes
dans QRadar pour être informé en cas d'échec du transfert ou de perte de journaux.
Nous sommes désormais en mesure de visualiser les journaux de WinCollect dans notre solution QRadar. Comme vous
pouvez le constater, nous subissons déjà des attaques de force brute. Je réserverai l'étude de cas pour un autre chapitre
; pour l'instant, concentrons-nous sur l'ingestion réussie des journaux.
20
Khalid-AMATOCH
Après avoir installé syslog-ng, nous devons configurer le fichier de configuration pour spécifier comment les journaux
doivent être transférés vers IBM QRadar (Linux DSM). Voici les étapes à suivre :
Figure 21 Syslog-ng
1. source qr_source {
2. internal();
3. system();
4. };
5. filter qr_filter {
6. facility(auth, authpriv);
7. };
8. destination qr_destination {
9. tcp("<qradar_ip_address>" port(514));
10. };
11. log{
12. source(qr_source);
13. filter(qr_filter);
14. destination(qr_destination);
15. };
En suivant ces étapes, vous pourrez configurer l'ingestion des journaux Linux dans IBM QRadar de manière efficace.
21
Khalid-AMATOCH
Veuillez-vous assurer que le DSM du système d'exploitation Linux prend en charge les types d'événements suivants :
• cron
• HTTPS
• FTP
• NTP
• Couche de sécurité d'authentification simple (SASL)
• SMTP
• SNMP
• SSH
• Changer d'utilisateur (SU)
• Événements du module d'authentification enfichable (PAM).
Et voilà, nous avons terminé le processus d'ingestion et de traitement des journaux. Dans les prochains chapitres, nous
aborderons la manière dont nous pouvons utiliser ces journaux pour créer des alertes et les rendre utiles.
22
Khalid-AMATOCH
Avant de commencer, nous devons télécharger les extensions sur notre ordinateur local avant de pouvoir les installer
dans QRadar. Pour télécharger les extensions QRadar depuis IBM Security App Exchange
(https://apps.xforce.ibmcloud.com/) et depuis IBM Fix Central (www.ibm.com/support/fixcentral/).
Une extension est un ensemble de fonctions QRadar. Une extension peut inclure du contenu tel que des règles, des
rapports, des recherches, des jeux de référence et des tableaux de bord. Il peut également inclure des applications qui
améliorent les fonctions QRadar.
D'abord, nous devons télécharger les extensions à partir du lien fourni ci-dessus.
23
Khalid-AMATOCH
Assurez-vous de déployer après l'achèvement de la phase d'installation, et vous verrez que la fonctionnalité est ajoutée.
Maintenant, pour configurer cette fonctionnalité, elle nécessite un jeton pour fonctionner. Cela est nécessaire pour
garantir la sécurité de l'accès aux données et limiter l'utilisation non autorisée.
24
Khalid-AMATOCH
Après avoir importé le jeton, nous pouvons accéder au tableau de bord et exploiter ses fonctionnalités. L'un de ses
avantages est de faciliter la gestion des règles, en permettant aux utilisateurs de créer, modifier et organiser les règles
de sécurité de manière efficace et intuitive.
Figure 28 Token
25
Khalid-AMATOCH
Remarques :
• Si la règle n'a pas été déclenchée, la plupart du temps, c'est en raison de la gestion de l'index. Assurez-vous
d'avoir choisi un paramètre valide.
• Il est préférable de ne pas utiliser l'AQL dans la création de règles car cela consomme beaucoup de ressources.
• L'ordre des tests est très important, essayez toujours d'abord avec les volumes les plus importants avant les plus
faibles.
26
Khalid-AMATOCH
• Le dépannage des performances des règles personnalisées avec findExpensiveCustomRules.sh est un excellent
outil qui aide à détecter les règles qui consomment beaucoup de ressources.
• Il est recommandé d'auditer l'événement ID 4688 car il enregistre la création de nouveaux processus dans
l'Observateur d'événements
Enquête Initiale :
• Analyser et surveiller l'utilisation des commandes telles que tasklist, ver, ipconfig et systeminfo, que les
attaquants utilisent couramment pour collecter des informations sur la machine infectée.
La création de la règle est simple et directe. Nous devons élaborer une règle qui correspond aux journaux Windows, en
mettant l'accent spécifiquement sur l'événement de création de processus et plus précisément sur les commandes
utilisées dans la création du processus. Pour ce faire, nous utilisons les fonctionnalités de filtrage et de corrélation de
notre système de gestion des événements et des informations de sécurité (SIEM). Dans l'image suivante, vous pouvez
voir la règle que j'ai utilisée pour ce scénario particulier. En configurant cette règle, nous sommes en mesure de cibler
spécifiquement les activités liées à la création de processus qui pourraient indiquer une activité suspecte ou
malveillante.
Conseil: Here you can find the Microsoft Windows Content Extension to expand QRadar searches and reports.
27
Khalid-AMATOCH
Figure 34 Offense
Remarque : Vous pouvez vous inspirer des règles proposées par SIGMA. Les règles SIGMA, également connues sous le
nom de signatures génériques pour la détection d'attaques, sont un ensemble de règles de détection d'attaques
génériques et normalisées qui peuvent être utilisées pour détecter un large éventail de comportements malveillants.
Elles sont conçues pour être indépendantes des fournisseurs et des produits, ce qui les rend polyvalentes et largement
utilisées dans le domaine de la cybersécurité. En vous appuyant sur les règles SIGMA, vous pouvez créer des règles
similaires dans votre SIEM pour détecter des comportements malveillants ou suspects dans votre environnement
informatique.
28
Khalid-AMATOCH
La fonctionnalité des Données de Référence peut être illustrée à travers deux aspects :
• Données de renseignements sur les menaces externes : Vous pouvez utiliser des collections de données de
référence pour intégrer des données d'indicateurs de compromission (IOC) provenant de fournisseurs tiers dans
QRadar. QRadar utilise ces données IOC pour détecter plus rapidement les comportements suspects, ce qui aide
les analystes de sécurité à enquêter sur les menaces et à répondre plus rapidement aux incidents.
• Données professionnelles : Les collections de données de référence peuvent contenir des données métiers
spécifiques à votre organisation, telles qu'une liste d'utilisateurs ayant un accès système privilégié. Utilisez les
données métier pour créer des listes de blocage et des listes blanches.
Pour cette fonctionnalité, je vais utiliser une extension comme illustré dans l'image ci-dessous pour faciliter la gestion
des données de référence.
Pour démontrer la fonctionnalité et l'utilité de la capacité de "données de référence" fournie par IBM QRadar, nous
étudierons le dernier rapport de menace publié par l'unité 42. L'unité 42 est un groupe de recherche en cybersécurité
affilié à Palo Alto Networks, spécialisé dans l'analyse des menaces et la recherche sur les logiciels malveillants. Leurs
rapports sont largement respectés dans la communauté de la cybersécurité pour leur précision et leur perspicacité sur
les menaces émergentes et les tendances d'attaques.
Figure 36 Unit 42
29
Khalid-AMATOCH
En incorporant les indicateurs de compromission (IOC) et les données de menace des rapports de l'unité 42 dans nos
collections de données de référence, nous visons à améliorer la capacité de QRadar à détecter les activités suspectes et
les menaces potentielles. Nous analyserons les conclusions du rapport de l'unité 42 et identifierons les principaux
données IOC telles que les adresses IP, les noms de domaine, les URL et autres artefacts associés à des activités
malveillantes. Ces données IOC seront ensuite importées dans les données de référence de QRadar, enrichissant ainsi sa
base de renseignements sur les menaces.
Après avoir créé l'ensemble de référence, il est maintenant temps d'ajouter les indicateurs de compromission (IOC).
30
Khalid-AMATOCH
Maintenant, créons notre règle qui filtre les sources IP pour les tentatives de scan Ivanti.
31
Khalid-AMATOCH
4.4 Conclusion
Dans ce document, nous avons exploré plusieurs fonctionnalités clés de IBM QRadar, notamment l'ingestion de logs
Linux, l'utilisation de données de référence, et la création de règles de détection d'incidents basées sur des indicateurs
de compromission (IOC). Nous avons également examiné comment intégrer des données provenant de rapports de
menaces externes, tel que celui de l'unité 42, dans les référentiels de données pour renforcer la détection des menaces.
Enfin, nous avons créé des règles de détection personnalisées pour identifier les activités suspectes sur le réseau. En
combinant ces fonctionnalités, nous avons amélioré la capacité de QRadar à détecter et à répondre efficacement aux
incidents de sécurité.
Dans le prochain document de suivi, nous explorerons davantage les fonctionnalités de QRadar, notamment : la gestion
des incidents, l'analyse comportementale des utilisateurs, l'intégration des données de flux réseau, la personnalisation
des rapports, l'automatisation des réponses aux incidents et l'intégration des données de vulnérabilité. Restez à l'écoute
pour plus de détails.
32