Announcing the new IBM QRadar and Cloudflare direct log integration

Es ist kurz nach Mitternacht und Sie wurden gerade darüber informiert, dass Traffic von gefährlichen IP-Adressen bei Ihren Servern eingeht. Jetzt kommt es darauf an, die richtigen Prioritäten zu setzen und die fünf W-Fragen (Wer, Was, Wo, Wann und Warum) so schnell und so detailliert wie möglich zu beantworten.

Je nachdem, zu welchen Ergebnissen dabei belangen, werden Sie die Warnung als Fehlalarm einstufen können, eine weitere Eskalation vornehmen müssen oder Bereitschaftsmitarbeitende Ihres Unternehmens nachts aus dem Bett klingeln müssen.  

Wer schon einmal in einer solchen Situation war, der weiß, dass es in solchen Fällen eine unglaublich große Hilfe sein kann, über die richtigen Sicherheitswerkzeuge zu verfügen. Eine Plattform, die einen vollständigen Überblick über alle Endpunkte, Systeme und Verarbeitungsschritte bietet, ist dann von unschätzbarem Wert.

Cloudflare schützt Applikationen von Kunden mittels Anwendungsdiensten wie DNS, CDN und WAF, um nur einige zu nennen. Wir verfügen auch über Produkte zur Absicherung von Firmenanwendungen, etwa unsere Zero Trust-Lösungen Access und Gateway. Jedes dieser Angebote generiert Protokolle, mit denen Kunden einen Überblick über die Vorgänge in Ihren Umgebungen erhalten. Viele unserer Kunden kombinieren Cloudflare-Services mit anderen Netzwerk- oder Anwendungsdiensten, beispielsweise Endpunktverwaltung, Containersystemen und ihren eigenen Servern.

Wir freuen uns, bekannt geben zu können, dass Kunden von Cloudflare ab sofort ihre Protokolle unmittelbar an IBM Security QRadar SIEM übertragen können. Diese direkte Integration erlaubt Kosteneinsparungen und schnellere Protokollübermittlung für Cloudflare- und QRadar SIEM-Kunden, da eine Speicherung in der Cloud als Zwischenschritt nicht erforderlich ist.

Wir haben unsere Partner aus dem IBM QRadar SIEM-Team eingeladen, damit sie über die Möglichkeiten sprechen, die sich dadurch für unsere gemeinsamen Kunden eröffnen.

IBM QRadar SIEM

QRadar SIEM bietet Sicherheitsteams einen Überblick und Erkenntnisse über Nutzer, Endpunkte, Clouds, Anwendungen und Netzwerke an zentraler Stelle. Das hilft dabei, Bedrohungen unternehmensweit aufzuspüren, zu untersuchen und zu bekämpfen. QRadar SIEM sorgt dafür, dass für Tausende oder Millionen Vorfälle nur eine überschaubare Menge an priorisierten Warnmeldungen ausgegeben wird. Zudem wird die Untersuchung solcher Ereignisse automatisch mithilfe von KI um relevante Informationen und eine Ursachenanalyse ergänzt. Dadurch können Sicherheitsteams schneller und effizienter arbeiten. QRadar SIEM macht Teams produktiver, kann bei kritischen Anwendungsfällen zum Einsatz kommen und ermöglicht ein ausgereifteres Sicherheitssystem.

Die Sicherheitslösungen für Unternehmen und der Reverse Proxy von Cloudflare bilden einen wesentlicher Teil der Kundenumgebungen. Sicherheitsanalysen können anhand von Protokollen, die von diesen Produkten erstellt wurden, für einen besseren Überblick sorgen. Das gleiche gilt für Daten von Tools, die gesamte Netzwerke abdecken. Anhand der daraus gewonnenen Erkenntnisse lassen sich wiederum Arbeitsabläufe bezüglich Bedrohungserkennung und -bekämpfung entwickeln.

The Offenses view in QRadar provides a prioritized list of threats

IBM und Cloudflare arbeiten seit Jahren zusammen daran, gemeinsamen Kunden eine Übersicht mit einer einzigen Schnittstelle zu bieten. Mit dieser neuen erweiterten Integrationen können Kunden von QRadar SIEM Cloudflare-Protokolle direkt von unserer Logpush-Lösung beziehen. QRadar SIEM unterstützt außerdem weiterhin Kunden, die bestehende Integrationen über S3 Storage einsetzen.

Weitere Informationen zur Nutzung dieser neuen Integration erhalten Sie in der „Cloudflare Logs DSM“-Anleitung und im Blogbeitrag zur QRadar-Community.