什么是 SIEM?
SIEM(Security Information and Event Management,安全信息与事件管理)是一种软件解决方案,用于:
- 收集 — 从网络中的各种设备、应用、系统收集日志和事件
- 聚合 — 将分散的数据统一归集到中央平台
- 关联 — 通过规则将不同来源的事件关联起来,发现安全威胁
- 分析 — 实时检测异常行为和已知攻击模式
- 响应 — 生成告警(Offense),辅助安全团队响应
为什么需要 SIEM?
在没有 SIEM 的环境中,安全团队面临:
IBM QRadar 的定位
IBM QRadar 是 IBM 旗下的企业级 SIEM 平台,连续多年被 Gartner 评为 SIEM 魔力象限领导者:
| 能力 | 说明 | 典型场景 |
|---|---|---|
| 日志管理 | 收集并解析来自数千种设备的日志 | 防火墙、服务器、数据库日志统一分析 |
| 网络流量分析 | 接收 NetFlow/sFlow/IPFIX/J-Flow | 发现 C2 通信、数据外泄 |
| 实时关联 | 基于规则的实时事件关联引擎 | 多源事件聚合为单一攻击视图 |
| 威胁情报 | 集成 X-Force 威胁情报 | 自动标记已知恶意 IP/域名 |
| 资产管理 | 自动发现网络资产并评估漏洞 | 快速定位受攻击主机信息 |
| 用户行为分析 UBA | 检测内部威胁和账号异常 | 发现账号共享、离职员工异常访问 |
| SOAR 联动 | 与 QRadar SOAR 实现自动响应编排 | 自动阻断恶意 IP、创建工单 |
QRadar 产品家族
QRadar 核心架构
数据流全景
关键组件说明
| 组件 | 功能 | 类比 |
|---|---|---|
| Console | 管理界面、用户访问、数据汇总 | 大脑中枢 |
| Event Collector (EC) | 收集日志,临时缓存 | 收件员 |
| Event Processor (EP) | 解析、归一化、存储事件 | 分拣员 |
| Flow Collector (FC) | 收集网络 Flow | 流量监控员 |
| Flow Processor (FP) | Flow 解析、存储 | 流量分析师 |
| App Host | 运行 QRadar App(容器化) | 应用服务器 |
| Data Node | 扩展事件存储容量 | 扩容硬盘 |
| Wincollect Agent | Windows 日志收集代理 | 客户端代理 |
Event 处理生命周期
核心概念速览
| 概念 | 一句话解释 | 查看位置 |
|---|---|---|
| Event | 一条安全事件记录 | Log Activity |
| Flow | 网络通信的元数据摘要 | Network Activity |
| Offense | 关联引擎发现的攻击告警 | Offenses |
| Rule | "如果满足 X 条件,则执行 Y 动作" | Offenses > Rules |
| Asset | 网络中发现的设备/主机 | Assets |
| QID | 事件类型标识符 | Event 详情 |
| DSM | 解析特定厂商日志的模块 | Admin > DSM Editor |
| Reference Set | 可引用的数据集合(如黑名单) | Admin > Reference Data |
学习路径建议
配套资源
- 📄 官方文档:
00-official-docs/7.5/IBM_QRadar_7.5_Getting_Started_Guide.pdf第 1-2 章 - 📄 官方文档:
00-official-docs/7.5/IBM_QRadar_7.5_User_Guide.pdf第 1-2 章 - 🔗 IBM 官方学习路径:https://www.ibm.com/training/search?query=qradar