QRadar Event Capacity License是指每秒收錄的日誌事件數量為授權。QRadar智慧安全平台將 SIEM、日誌管理、異常偵測、漏洞管理、風險管理以及事件鑑識整合為單一解決方案，此解決方案運用情報、整合以及自動化處理來提供全面性的安全洞察，可提供卓越的威脅偵測功能，不但使用上更加簡單，同時也降低總擁有成本

QRadar 智慧安全平台運用情報、整合及自動化處理所提供的安全與法規遵循優勢，在現今日益智慧化的環境中更顯得難能可貴，現在企業相較於過往趨向儀器化、互聯化以及智慧化，所收集、處理、使用和儲存的資訊量也不斷增加。
IBM QRadar 智慧安全平台可協助解決許多企業問題，包括：

• 整合資料孤島，化為單一整合式解決方案
• 識別內部威脅與詐欺
• 管理漏洞、配置、法規遵循以及風險
• 進行事件與違規的鑑識調查
• 因應法規要求

QRadar 智慧安全平台提供統整合式架構，可用於儲存、關聯、查詢及報告有關日誌、流量和漏洞資料，以及惡意使用者與資產資料。其結合了精密分析與立即可用的規則、報告和儀表板。QRadar 不但功能強大且擴充性十足，符合財富雜誌前 500 大企業與主要政府機構的需求。由於擁有成本降低、敏捷性提高，加上對安全和法規遵循風險的防護性增強，讓使用者獲益匪淺。

情報
QRadar 透過分析更多資料類型並拓展分析技術，總能偵測到其他解決方案遺漏掉的威脅，同時協助提供其他解決方案所缺乏的網路可見性。

整合
此平台具備通用的應用程式平台、資料庫以及使用者介面，能在支援大規模日誌管理的同時，不損及 SIEM 與網路行為分析的即時情報功能。針對所有的搜尋、關聯、異常偵測及報告功能，提供一套一體適用的解決方案。而單一的直覺式使用者介面，則讓使用者完美無缺地存取所有日誌管理、流量分析、事件管理、配置管理、風險與漏洞管理、事件鑑識、儀表板和報告功能。
自動化
QRadar 安全情報平台在部署和管理上都相當簡單，可提供廣泛立即可用的整合模組以及安全情報內容。此解決方案能自動化處理許多資產探索、資料正規化以及調整功能，同時提供立即可用的規則與報告，其目的在於降低複雜性，以免如同其他產品般深受其害。

1. 系統架構與擴充能力
1.1 同一實體設備需支援Log Management與SIEM功能，並提供日誌記錄功能每秒事件100EPS(Event Per Second)
1.2 所有管理功能均可在同一網頁介面進行管理與分析
1.3 支援高可用度機制，透過SIEM系統自動同步相關的日誌與設定資料，當一台主機無法連接時，自動由另一台主機接收事件
1.4 支援分散式架構，可擴充事件收集器，以收集異質區域之相關事件
1.5 提供網路行為採集與分析，可分析透過何種應用程式進行連線或傳輸資料，當日誌中斷時，仍可收集相關網路連線資訊

2. 系統安全功能
2.1 需為單一Web管理介面，提供 HTTPS 加密管理，可支援Windows AD , LDAP , RADIUS, TACACS 認證機制
2.2 提供NIST日誌管理標準加密雜湊演算法SHA-x
2.3 提供日誌稽核資料之完整性檢查機制

3. 分權管理
3.1 可制定使用者角色(Role) 功能權限，包含系統管理權限、日誌檢視與管理權限、資產檢視與管理權限、事件檢視與管理權限、報表檢視與管理權限、規則的檢視與管理權限
3.2 可制定使用者角色(Role) 的管理範圍，可依照角色設定管理或檢視的日誌來源範圍，例如什麼角色可以看什麼設備或日誌

4. 日誌收集
4.1 日誌來源支援下列設備之正規化，並支援線上更新(Auto Update) 最新的各種設備收集方式。包含網路設備日誌、主機日誌、資料庫活動稽核日誌、應用程式日誌
4.2 客製化日誌收集方式可支援Syslog, SNMP, FTP, SFTP , SCP , JDBC 等方式
4.3 日誌需進行正規化，以便進行分析與統計，正規化欄位必需至少包含時間、日誌來源、使用者名稱、來源IP、目的IP、事件分類、事件名稱、嚴重等級
4.4 日誌發生時，會自動辨識其來源或目的IP之國家及顯示國旗標示
4.5 可自行擴充欄位，無需直接修改日誌資料庫
4.6 可針對不同的日誌來源，設置日誌中斷收集的告警，例如多久沒收到日誌就以email通知
4.7 需能將收集到之日誌IP資訊，自動納入資產設備管理功能，並能針對設備進行編輯管理

5. 事件關聯與警告
5.1 系統需預設提供之事件關聯規則(correlation rules)，需包含下面事件攻擊與異常種類：如：
5.1.1 Recon(偵查與網路掃瞄行為)
5.1.2 Anomaly(異常行為事件)
5.1.3 Botnet(殭屍網路連線)
5.1.4 DDoS(分散式阻斷服務攻擊)
5.1.5 Exploit(弱點被利用)
5.1.6 Authentication(認證事件)
5.1.7 Malware(惡意程式)
5.1.8 Worms(蠕蟲)
5.1.9 Suspicious(可疑事件)
5.1.10 Policy (違反政策)
5.1.11 Compliance(合規事件)
5.1.12 System(系統事件)
5.2 可自行定義事件關聯規則(correlation rules)，並不得限制即時(Real-Time)告警規則數量，需可結合跨日誌進行關聯性分析判斷，分析異常事件，並發出警告
5.3 可針對已發生之事件，進行人員指派、事件關閉以及處理過程記錄功能


6. 日誌搜尋與過濾
6.1 支援即時性(Real-Time) 動態與歷史記錄的正規化的日誌逐筆檢視
6.2 過濾與篩選方式無需使用SQL語法，可依各種不同欄位進行過濾，欄位必須包含來源IP , 來源Port , 目的IP , 目的Port , Protocol , 日誌來源種類 ,事件種類 , 事件名稱 , 觸發的規則種類等
6.3 可將搜尋或過濾條件進行儲存，並提供轉換為儀表板以及報表功能
6.4 提供日誌自動彙整(Aggregation)機制，調閱方式以樞紐分析表格(Table)方式呈現，可自行選擇要呈現之欄位，並以不同維度進行日誌分析統計，例如以來源IP , 目的IP , 事件種類 , 使用者名稱做為群組分類統計


7. 合規與報表功能
7.1 需提供ISO 27001、COBIT、PCI、Sarbanes-Oxley、FISMA等國際標準合規模組
7.2 以網頁圖形化介面讓客戶自行定義報表內容與呈現方式，報表呈現方式包含統計、趨勢、表格，無需透過SQL指令進行查詢

8. 日誌資料庫索引功能
8.1 Web管理介面需提供日誌資料庫索引功能，以增加查詢效能，並能線上檢視索引結果之空間大小
8.2 可索引的欄位需包含來源IP、目的IP、關聯規則名稱、事件名稱、事件分類、事件內容與客製化欄位..等，並能選擇這些欄位是否需要進行索引

9. 日誌來源資產管理
9.1 能自動辨識日誌種類，並彙整成設備資產
9.2 可將資產資料進行匯入與匯出，欄位必需包含主機名稱、IP、資產名稱、業務負責人、技術負責人、資產位置、系統重要性


10. 資料保存、壓縮、備份與還原
10.1 完整保留原始日誌及事件，不做任何改變，確保日誌、事件完整性。


硬體規格: 主機為 LINUX / Windows 2003以上 64GB RAM/ 500GB HD