Chapter 1. What's new for users in QRadar Incident Forensics

QRadar Incident Forensics User Guide

With IBM Security QRadar Incident Forensics, you can detect emerging threats,

determine the root cause and prevent recurrences. By using forensics tools, you can

quickly focus your analysis on who initiated the threat, how they did it and what

was compromised.

As a forensics investigator, you can retrace the step-by-step actions of cyber

criminals and reconstruct the raw network data that is related to a security

incident.

When your organization first becomes aware of a threat or a potential security risk

or compliance breach, you set objectives to assess the scope, identify the entities

that are involved, and understand the motivations.

You can use the tools in IBM Security QRadar Incident Forensics in specific

scenarios in the different types of investigations, such as network security, insider

analysis, fraud and abuse, and evidence-gathering.

1.

Recover and reconstruct network sessions to and from an IP address.

From the incidents that are created, you can query categories of attributes to

gather evidence.

When you create a recovery, an incident is created.

3.

Use search filters to retrieve only the information that you are interested in.

Depending on the type of investigation, choose the forensics tool that provides

you with the evidence that you need.