个人经验:优点:架构成熟稳定,支持快速部署,可扩展性比较好,有不少默认规则,提供较丰富的API,可使用第三方开发的APP增强功能,当然如果能力足够强的话也可以自己开发APP。缺点:本地支持能力有限。默认规则往往需要做较大调整才能适应实际环境。基于界面的日志搜索不太灵活,比较耗时...
要看这个结合怎么定义了,qradar本身就结合企业中各种安全产品的日志做关联分析
这个产品是只能装在linux上,还是aix上也可以部署?
SIEM产品的部署本省就需要有一定服务的时间,但是“IBM QRadar 比其他SIEM解决方案在企业中的部署速度快近乎三倍。 ----2014 Ponemon Institute, LLCIndependent Research Report”这主要和其存在的大量模板有比较大的关系...
Qradar在各行各业都有很多成功用户,目前在国内以金融用户较多,这和其行业的安全合规需求有很大关系
Qradar可以单独使用,也可以和IBM或其他第三方产品一起使用
这主要是因为Qradar和其他SIEM产品在对待攻击所作出的响应有所差别,通常的SIEM产品是每条规则都会产生一个报警,但qradar的“攻击“组件,则会自动的将不同规则触发的报警智能的归并成一条”攻击“事件,通过优化,一般每天处理的攻击事件可以控制在最多几十个之内。...
Qradar是新一代的SIEM产品,无论从收集的数据的种类和数量,还是其关联和调查取证能力,和原来的SIEM产品都有较大的优势。
Qradar从中小企业到超大型企业都可以适用,看其有没有日志审计合规,或安全分析,运维管理等方面的需求
那这些是不是要实现所有的功能,需要购买几套这样的产品啊