Rapporti indicatori

Modifica in linea

I report degli indicatori forniscono informazioni dettagliate su indicatori di compromesso.

Un indicatore di compromesso è qualsiasi pezzo registrato o catturato di evidenza digitale da un incidente di sicurezza che può essere utilizzato per fornire informazioni su un'intrusione o su un problema.

Gli indicatori di compromesso forniscono i primi obiettivi concreti per la vostra indagine. Diversi feed di intelligence di minaccia potrebbero utilizzare indicatori diversi, a seconda della propria regione, del settore business o dei requisiti di sicurezza. IBM Cloud Pak® for Security platform utilizza i seguenti indicatori.

  • Applicazione

    Le informazioni sulle applicazioni web contengono punteggio del rischio, categorie, azioni associate, URL di base e rischi. Inoltre contengono informazioni rilevanti sull'applicazione, incluse vulnerabilità, URL di hosting e IP di hosting.

  • Botnet

    I dispositivi che utilizzano questi indirizzi IP sono infettati e prendono parte a attacchi denial - of - service, port - scanning, spam - invio e altre intrusioni indesiderate.

  • Indirizzo IP

    In un report IP, X-Force® fornisce un punteggio di rischio, un'ubicazione, informazioni di categorizzazione, contenuto cronologico, WHOIS e informazioni DNS passive (domain name server) per gli indirizzi IPv4 e IPv6IP .

  • MD5 hash di file di malware

    Il hash MD5 , noto anche come checksum per un file, è come un'impronta digitale del file. Si tratta di indicatori basati su host per il codice malevolo, che consistono in un indicatore hash di file e il nome e il tipo del pezzo di malware che indica.

  • URL (Uniform Resource Locator)

    X-Force raccoglie informazioni URL che contengono un punteggio di rischio, segmentazione in una delle informazioni di 75 categorie, WHOIS e DNS passivo (Domain Name Server).

  • Firma

    Le informazioni sulla sicurezza disponibili includono firme di rete specifiche che categorizzano gli eventi di audit.

  • Vulnerabilità

    Le informazioni sulle vulnerabilità provengono dal database X-Force , uno dei più vecchi database di vulnerabilità disponibili pubblicamente nel mondo. Il database attualmente contiene più di 88.000 vulnerabilità. Oltre alle metriche standard associate a qualsiasi vulnerabilità, X-Force fornisce informazioni di copertura IBM da una prospettiva di sicurezza della rete, nonché riferimenti esterni correlati alla vulnerabilità.

Le vulnerabilità sono indicate dal numero CVE (Common Vulnerabilities and Exposure).

Per determinare i punteggi di rischio di IP e URL, X-Force Exchange si basa su due elementi di dati: la quantità di prove acquisite e la sequenza temporale della prova. Un motore analytics elabora questi dati per determinare il punteggio di rischio.

Il punteggio di rischio IP è valutato nella gamma 1 - 10, con 1 che indica nessun rischio e 10 che indica il più alto livello di rischio. La località è fornita a livello regionale. Il contesto storico mostra le voci precedenti nella banca dati che erano relative a quell' IP quando è stata aggiornata.

Il punteggio di rischio è un valore normalizzato che viene generato dall'elaborazione delle informazioni di intelligence delle minacce disponibili a IBM, incluse le scansioni internet e le raccolte di spam mondiali. Ad alto livello, questo punteggio riflette il rischio e la nocività potenziale dell'IP. Come esempio, un IP che viene identificato come l'invio di un elevato volume di spam ha frequentemente un punteggio ad alto rischio. Questo punteggio diminuisce nel tempo se l'IP diventa meno attivo nella sua emissione di spam, sia per volume che per frequenza.