在当今高度互联的世界中,网络犯罪分子的行为越来越敏捷和快速。安全团队也必须如此。IBM QRadar SIEM 通过自动化、近乎实时的威胁检测帮助团队应对快速响应挑战。
QRadar SIEM 可以使用数千个预构建的用例、用户行为分析、网络行为分析、应用程序脆弱性数据和 X-Force Threat Intelligence,近乎实时地分析数百万个事件,提供高精确度警报。
下载 2024 年威胁情报指数
阅读解决方案简介
观看 QRadar SIEM 演示
由于攻击者的行动速度比以往任何时候都快,组织必须使用自动威胁检测保持领先地位。
据 IBM 衡量,从 2019 年到 2021 年,勒索软件攻击部署的平均时间缩短了 94%。¹
从 2019 年到 2021 年,网络钓鱼套件的使用寿命每年增加 2 倍以上。²
在 200 天内遏制漏洞,平均可节省 110 万美元。³
QRadar SIEM 专为分析日志事件和网络活动而构建 - 此特有功能可让 QRadar SIEM 提供针对整个安全环境(其中包括跨端点、本地部署、云和网络设备的数据)的全面可见性,从而对恶意活动可能隐匿其中的盲点加以限制。
QRadar SIEM 可通过一组丰富的 450 个数据源连接器和 370 个应用程序来扩展您的威胁检测功能,从而添加与网络流相结合的功能,以便监控可见性较低的其他解决方案经常错过的完整攻击路径。
根据历史数据分析日志事件和网络活动,以发现已知与未知的威胁。X-Force Threat Intelligence 可为您的环境提供外部世界背景,以帮助识别来自已知恶意软件、IP 和 URL 的威胁;而用户行为分析和网络威胁分析则可通过使用多种机器学习模型来检测异常模式。基于 MITRE ATT&CK 计策的数千个用例可供您立即使用,并可在 X-Force App Exchange 中帮助检测最新的攻击者模式。
当威胁参与者触发多个检测分析、跨网络移动或改变其行为时,QRadar SIEM 均会跟踪当前所用的每个计策和技术。更为重要的是,它可关联、跟踪和识别整个杀伤链中的相关活动,并将这些数据合并为单个警报。
量级分数由 3 个因素组成:
- 相关性:它对您的网络有多大影响?(占量级分数的 50%)
- 严重性:如果发生此情况,会造成什么级别的威胁?(占量级分数的 30%)
- 可信度:您对所涉及数据源的信任程度有多高?(占量级分数的 20%)
系统会使用复杂的算法来计算量级分数。事件数量、来源数量、存在时长、已知漏洞和数据源风险等因素均有助于评估您环境中的事件。
攻击具有各种各样的形式和规模。您是否有正确的用例集来检测 PowerShell 或水平运动?
QRadar SIEM Use Case Manager 可将活动和规则与 MITRE ATT&CK 计策和技术相结合,以直观地突出显示您在各攻击阶段的覆盖深度。
从 IBM App Exchange 免费下载特定于用例的内容包,或使用 Use Case Manager 构建自己的用例。
用户行为分析使用机器学习来确定针对个人的正常用户行为,而已学习的对等组随后则会对遭入侵的凭据或恶意特权提升一类的异常进行标记,并为用户分配风险评分。UBA 使用 3 种流量来扩充和实现风险评分:
- 与访问、身份验证和帐户变更相关的流量
- 有关网络(包括代理、防火墙、IP 和 VPN)的用户行为
- 端点和应用程序日志,例如来自 Windows 或 Linux 以及 SaaS 应用程序的日志
网络威胁分析 (NTA) 使用机器学习建模来分析系统上的流记录以确定正常的流量模式,然后将所有传入流与最新的基线模型进行比较。根据流属性值以及观察到的通信类型的频率,系统会为每个流分配一个异常值分数。通过使用 NTA,分析人员可快速识别哪些流可能表明存在可疑行为并确定调查的优先顺序。
QRadar Network Insights (QNI) 可对流中的网络元数据和应用程序内容进行更深入的分析。基本级别新增了 18 个附加属性,而高级级别则可捕获通过网络传输的文件中的恶意脚本或 PI 等详细信息。通过使用深度包检查、第 7 层内容分析和文件分析,QRadar Network Insights 可帮助 QRadar SIEM 检测到原本会被忽视的威胁活动。