No mundo hiperconectado de hoje, os cibercriminosos agem com agilidade e velocidade cada vez maiores. E as equipes de segurança devem fazer o mesmo. O IBM QRadar SIEM ajuda as equipes a enfrentar o desafio de resposta rápida com detecção de ameaças automatizada quase em tempo real.
O QRadar SIEM pode analisar milhões de eventos quase em tempo real utilizando milhares de casos de uso prontos, análise de dados do comportamento do usuário, análise de dados do comportamento da rede, dados de vulnerabilidade de aplicações e X-Force Threat Intelligence para entregar alertas de alta fidelidade.
Faça o download do 2024 Threat Intelligence Index
Leia o resumo da solução
Assista à demonstração do QRadar SIEM
Com os invasores se movendo mais rápido do que nunca, as organizações precisam usar a detecção automatizada de ameaças para se manterem à frente.
A IBM mediu uma redução de 94% no tempo médio de implantação de ataques de ransomware de 2019 a 2021.¹
A vida útil dos kits de phishing mais do que dobrou por ano, de 2019 a 2021.²
Conter as violações em menos de 200 dias economiza uma média de US$ 1,1 milhão.³
O QRadar SIEM foi desenvolvido especificamente para analisar eventos de log e atividades de rede — essa capacidade exclusiva permite que o QRadar SIEM forneça visibilidade abrangente de todo o seu ambiente de segurança, incluindo dados de endpoints, locais, nuvem e dispositivos de rede para limitar os pontos cegos onde atividades mal-intencionadas podem estar escondidas.
Ao ampliar seus recursos de detecção de ameaças por meio de um conjunto expansivo de 450 conectores de fontes de dados e 370 aplicações para adicionar funcionalidade combinada com fluxos de rede, o QRadar SIEM monitora o caminho completo do ataque, muitas vezes não percebido por outras soluções com menos visibilidade.
Os eventos de log e a atividade da rede são analisados com base em dados históricos para descobrir ameaças conhecidas e desconhecidas. O X-Force Threat Intelligence fornece contexto externo ao seu ambiente para ajudar a identificar ameaças de malware, IPs e URLs conhecidos, enquanto a análise de dados de comportamento do usuário e a análise de dados de ameaças à rede detectam padrões anômalos usando vários modelos de aprendizado de máquina. Milhares de casos de uso baseados no MITRE ATT&CK Tactics estão disponíveis para uso imediato e no X-Force App Exchange para ajudar a detectar os mais recentes padrões de invasores.
Quando os agentes de ameaças acionam várias análise de dados de detecção, migram pela rede ou mudam seus comportamentos, o QRadar SIEM rastreia cada tática e técnica que está sendo usada. E ainda mais importante, ele correlacionará, rastreará e identificará atividades relacionadas em toda a cadeia de vítimas e consolidará os dados em um único alerta.
A pontuação de magnitude é composta por três fatores:
- Relevância: qual será o impacto disso para sua rede? (50% da pontuação de magnitude)
- Gravidade: que nível de ameaça isso representa se ocorrer? (30% da pontuação de magnitude)
- Credibilidade: com que nível de integridade você confia nas fontes de dados envolvidas? (20% da pontuação de magnitude)
Algoritmos complexos são usados para calcular a pontuação de magnitude. Fatores como o número de eventos, o número de fontes, a idade, as vulnerabilidades conhecidas e o risco das fontes de dados ajudam a avaliar um evento em seu ambiente.
Os ataques vêm em todas as formas e tamanhos. Você tem o conjunto certo de casos de uso para detectar o PowerShell ou o movimento lateral?
O QRadar SIEM Use Case Manager alinha atividades e regras às táticas e técnicas do MITRE ATT&CK para destacar visualmente a profundidade de sua cobertura nas fases de ataque.
Faça o download de pacotes de conteúdo específicos para casos de uso na IBM App Exchange, sem custo, ou crie seus próprios casos de uso com o Use Case Manager.
A análise de dados do comportamento do usuário usa o aprendizado de máquina para determinar o comportamento normal do usuário em relação ao indivíduo e a um grupo de pares aprendidos e, em seguida, sinaliza anomalias como credenciais comprometidas ou escalonamento de privilégios desonestos e atribui ao usuário uma pontuação de risco.O UBA usa três tipos de tráfego para enriquecer e permitir a pontuação de risco:
- Tráfego de acesso, autenticação e alterações nas contas
- Comportamento do usuário na rede, incluindo proxies, firewall, IPs e VPNs
- Logs de endpoints e aplicações, como do Windows ou Linux, e aplicações SaaS
O Network Threat Analytics (NTA) analisa os registros de fluxo de seu sistema para determinar os padrões normais de tráfego usando a modelagem de aprendizado de máquina e, em seguida, compara todos os fluxos de entrada com o modelo de linha de base mais recente. Cada fluxo recebe uma pontuação de valor discrepante com base nos valores dos atributos do fluxo e na frequência com que o tipo de comunicação é observado. Ao usar o NTA, os analistas podem identificar rapidamente quais fluxos podem indicar comportamento suspeito e priorizar as investigações.
O QRadar Network Insights (QNI) fornece uma análise mais profunda dos metadados da rede e do conteúdo das aplicações em um fluxo. O nível básico adiciona 18 atributos adicionais, enquanto o nível avançado pode capturar detalhes como um script malicioso ou PI dentro de arquivos transferidos pela rede. Usando inspeção profunda de pacotes, análise de conteúdo de Camada 7 e análise de dados de arquivos, o QRadar Network Insights capacita o QRadar SIEM a detectar atividades de ameaças que poderiam não ser notadas.
A detecção de ameaças do centro ao endpoint com o QRadar SIEM protege sua organização de várias maneiras.
Incorpore as soluções de caça às ameaças cibernéticas do IBM Security em sua estratégia de segurança para combater e minimizar as ameaças mais rapidamente.
Integre os pacotes de conformidade no QRadar SIEM para assegurar a conformidade e automatizar relatórios.
Detecte ameaças de ransomware rapidamente com o QRadar SIEM, para que você possa agir imediatamente e com respaldo nas informações para minimizar ou evitar os efeitos do ataque.