Analisa o código-fonte do arquivo antes da execução completa e interrompe a execução dos arquivos se for detectado código malicioso.
Possibilita recursos específicos de detecção e operação autônoma mesmo quando os endpoints estão off-line.
Detecta e correlaciona informações de alertas, inclusive a causa raiz de um ataque, avaliação de risco e estrutura MITRE ATT&CK.
Possibilita a pesquisa em tempo real em toda a infraestrutura para encontrar indicadores de comprometimento (IOC), binários e comportamentos. A mineração de dados automatizada facilita a identificação de ameaças inativas.
Possibilita a coleta remota de informações forenses para investigações, possibilitando a análise e a reconstrução das atividades de invasores.
Ajuda os analistas a identificar possíveis ameaças com análises baseadas em metadados para acelerar a triagem. Possibilita a detecção e a análise de prevalência de artefatos de alerta para identificar novos binários assim que são ativados.
Analisa o comportamento dos arquivos para detectar ataques iminentes e pode impedir a execução de processos maliciosos.
Utiliza prevenção baseada em assinatura e heurística
Permite a criação de playbooks personalizados de detecção, resposta e remediação por meio da automação
Provê o acesso direto da API aos mecanismos QRadar EDR, o que é útil para automatizar fluxos de trabalho e integração com plataformas externas.
Possibilita um sistema de gerenciamento de alertas impulsionado por IA que trata os alertas de forma autônoma. Pode aprender a decisão de analistas instantaneamente vendo um determinado alerta apenas uma vez.
Emprega recursos de detecção e resposta a anomalias baseadas em comportamento quase em tempo real, para ajudar a proteger as organizações contra ameaças e ataques de malware avançados.
Rede sugerida
Notas
Instalação
Documentação oficial por meio do IBM Docs Tools
Backups
Integre o QRadar EDR com o IBM Security® QRadar SIEM para enriquecer seus logs SIEM com alertas de terminal de alta fidelidade e sem afetar sua contagem de EPS.
Integre o QRadar SOAR e o QRadar EDR para escalar casos originados de usuários, dispositivos endpoint e TI ativo.