加州州立理工大学波莫纳分校 (Cal Poly Pomona)

警报太多

宽松的安全标准使企业容易受到攻击。但是过于敏感的流程会产生虚假警报，可能导致难以区分朋友或敌人。不幸的是，这个问题很容易扩大。

“我们的校园很大，”加州州立理工大学波莫纳分校 (Cal Poly Pomona) 副校长兼首席信息官 (CIO) John McGuthry 说道，“这不仅包括学生数量，还包括实际规模。我们学校占地面积约 1,400 英亩，拥有超过 100 座建筑物。我们有马厩，有农场，而且我们的网络基础架构和维护的无线空间分布很广。”

事实证明，管理如此庞大的校园环境对于学校的 IT 安全资源来说已开始变得具有挑战性。“我们收到的设备警报太多，IT 安全资源很快就变得不堪重负，”McGuthry 回忆道，“我们查看的信息量不断增加，因此我们需要一种更好的方法。”

但除了庞大的环境之外，Cal Poly Pomona 还面临着需要满足的各种数据安全标准相关挑战。正如 McGuthry 解释的那样：“我们拥有警察队伍，因此有执法数据相应合规标准。我们设有健康中心，所以 HIPAA 会发挥作用。我们还配备酒店、餐馆、零售店，这意味着存在 PCI 要求。除此之外，我们还有需要确保安全的学生信息。”

为了应对这些挑战，McGuthry 希望建立一个可以提供复杂日志记录功能的集中式安全信息和事件管理 (SIEM) 平台。经过各种内部讨论后，他对深入了解 IBM Security^® QRadar^® SIEM 提供的功能产生了浓厚兴趣，并迅速与 IBM Security 团队进行了初步讨论。

“在对 QRadar 进行详尽评估并与 IBM 交谈后，我打电话给我们的首席信息安全官 (CISO) 说，‘我们开始吧，’”McGuthry 回忆道，“感觉这最适合 Cal Poly Pomona。”

超过 84,000 台

在 1,400 英亩的校园内监控的设备数量

20–40

每天从警报库中标记的待调查事件的数量

我们无法查看所有内容，因此 QRadar 会汇总和生成我们真正需要查看的详细信息。 Carol Gonzales

IT 安全与合规副校长助理，首席信息安全官

加州州立理工大学波莫纳分校

设置正确的优先级

作为初始 QRadar SIEM 部署的一部分，IBM Security 团队与 Cal Poly Pomona 员工一起对整个架构进行了全面盘点，创建了网络拓扑的详细记录，同时还识别了具有数据访问权限的所有用户角色。目前，约有 27,000 名在校学生和 3,000 名教职员工定期使用该系统。

“我们每个学期都有大型的临时申请者用户群，”该大学 IT 安全与合规副校长助理兼首席信息安全官 Carol Gonzales 指出，“这样一来，我们的用户就增加到了 100,000 左右，但很快又下降了。我们还为社区举办了很多活动。每年我们都会举行毕业典礼，届时学生的朋友和家人都会来到校园。这需要大量的无线访问。”

确定用户角色和库存后，借助 QRadar SIEM，Cal Poly Pomona 能够集中、标准化和分析来自超过 84,000 个设备的传入数据，以使用机器学习和行为分析来识别潜在威胁。平均而言，每天会生成大约 44 GB 的日志和报告，从取证的角度来看，这有助于简化合规和审计要求。

更详细地说，IBM 解决方案的可操作警报功能可以快速有效地识别入侵位置，并进行标记以供调查使用。此外，QRadar SIEM 还提供用户行为分析，帮助安全人员识别以前无法检测的异常，这些异常可能指示存在针对性攻击、内部威胁或其他恶意活动。

熟能生巧

除了安全之外，QRadar SIEM 还有助于大学的教育工作。特别是，在学校的 Mitchell Hill Data Center，工商管理学院的学生在学习网络安全时使用 IBM 技术获得“现实世界”体验。

“这是一个孤立的封闭式架构，可以模仿我们的生产环境，”该大学计算机信息系统副教授 Ronald E. Pike 博士解释道，“Cal Poly Pomona 的学生使用它来运行他们学生管理的安全运营中心 [SOC]，他们可以在这里使用 QRadar 观察进出环境的流量。他们可以人为地生成其他用户活动，为整个学期需要解决的安全问题提供一致的基线。”

此外，IBM 技术还为专注于 IT 审计和整体安全管理的专业课程提供帮助，特别是网络安全的各个领域如何相互关联。

“他们还在学生数据中心举办了许多竞赛，”Pike 补充说，“QRadar 对于帮助监控这些活动、提供有关竞争对手表现的清晰评估数据至关重要。”

降低工作强度，提升工作智能水平

QRadar SIEM 提供对整个校园网络的全面可视化。借助 IBM 技术，可以更轻松地检测针对先前未识别漏洞的攻击以及高级的持续性威胁。所有这些都使 Cal Poly Pomona 能够更快地识别安全漏洞和入侵行为。此外，该解决方案每天都会定期将潜在警报范围缩小到 20-40 个待调查的可操作项目。

“我们无法查看所有内容，因此 QRadar 会汇总和生成我们真正需要查看的详细信息，”Gonzales 解释道，“例如，几个月前发生了一起事件，我们检测到同一部门的多个台式机上存在未经授权的更改。借助 QRadar，我们当周快速识别并重新配置了这些系统。我们还很轻松地在仪表板上添加了一个小部件，让我们可以密切关注该部门，以防问题再次发生。”

除了该技术提供的价值之外，Gonzales 还对 IBM Security 团队提供的支持感到很满意。正如她所说：“我们非常感谢我们共同实施的价值评估，IBM 帮助我们发现如何更智能地工作。这些评估帮助我们了解哪些违规行为需要优先处理。他们指导我们如何让 QRadar 为我们完成工作，而不是让我们尝试管理该工具。”

McGuthry 继续说道：“除了产品的性能之外，服务也非常重要。而且，IBM 为我们配备的专家对我们学校来说非常宝贵。”

关于加州州立理工大学波莫纳分校 (Cal Poly Pomona)

Cal Poly Pomona（ibm.com 外部链接）成立于 1938 年，是一所领先的理工大学，专注于体验式学习和实践发现。该学校位于加利福尼亚州的波莫纳，由九个不同的学术学院组成，共同提供 94 个专业的学士学位和 39 个硕士学位课程。

解决方案组件

IBM Security®

IBM Security QRadar® SIEM

智胜攻击者

使用 IBM Security QRadar SIEM 通过 AI 驱动的监控和强大的安全情报提前预防威胁。

除了威胁检测和响应之外，QRadar SIEM 还能让安全团队利用先进的 AI、强大的威胁情报以及对前沿内容的访问，最大限度地发挥分析人员的潜能，从而积极主动地应对当今的威胁。

选择 IBM Security QRadar SIEM

查看更多案例研究

法律

美国出品，2023 年 11 月。

IBM、IBM 徽标、ibm.com、IBM Security 和 QRadar 是 International Business Machines Corporation 在美国和/或其他国家或地区的商标或注册商标。其他产品和服务名称可能是 IBM 或其他公司的商标。有关 IBM 商标的最新列表，请访问网站 ibm.com/legal/copyright-trademark。

本文档为自最初公布日期起的最新版本，IBM 可能随时对其进行更改。IBM 并不一定在开展业务的所有国家或地区提供所有产品或服务。

以上所有引用或描述的客户实例的展示取决于部分客户使用 IBM 产品的方式以及他们可能取得的结果。实际的环境成本和性能特征会因具体客户配置和情况而有所不同。无法提供通用的预期结果，因为每个客户的结果将完全取决于客户的系统和订购的服务。本文档内的信息“按现状”提供，不附有任何种类的（无论是明示的还是默示的）保证，包括不附有关于适销性、适用于某种特定用途的任何保证以及非侵权的任何保证或条件。IBM 产品根据其提供时所依据的协议条款和条件获得保证。

良好安全实践声明：任何 IT 系统或产品都不应被视为完全安全，任何单一产品、服务或安全措施都不能完全有效防止不当使用或访问。IBM 不保证任何系统、产品或服务可免于或使您的企业免于受到任何一方恶意或非法行为的影响。

客户负责确保对所有适用的法律和法规的合规性。IBM 不提供任何法律咨询，也不声明或保证其服务或产品确保客户遵循任何法律或法规。