Zarządzanie regułami i używanie spraw

Edycja w trybie z połączeniem

Produkt IBM® Detection and Response Center udostępnia ujednolicony przegląd informacji o zabezpieczeniach organizacji użytkownika, korzystając z przypadków użycia różnych narzędzi i platform zabezpieczeń.

Reguły Sigma, które są udoskonalane przez wzorce STIX, są używane przez produkt Threat Investigator w trakcie śledztw. Wzorce STIX można również uruchamiać w produkcie Data Explorer. Więcej informacji na ten temat można znaleźć w repozytorium reguł Sigma pod adresem https://github.com/SigmaHQ/sigma i w licencji na License Rule License (DRL) 1.1.

Reguły produktu QRadar® są pobierane z wdrożenia produktu QRadar SIEM, gdy jest skonfigurowana aplikacja IBM QRadar Proxy .

Treść IBM zawiera reguły wzbogacania i korelowania, które współpracują ze sobą w celu grupowania podobnych alertów w przypadkach, w których analitycy ds. bezpieczeństwa badają.

Eksploruj reguły wykrywania za pomocą wizualizacji i raportów

  • Zapoznaj się z regułami za pomocą różnych filtrów.
  • Dostosuj raporty, aby wyświetlić tylko te informacje, które są krytyczne dla analizy.
  • Uruchamianie wzorców STIX z reguł Sigma w Eksploratorze danych.

Wizualne pokrycie zagrożeń w ramach struktury MITRE ATT & CK

  • Wizualnie zrozumieć swoją zdolność do wykrywania zagrożeń opartych na taktyce ATT & CK i technikach.
  • Użyj nowych spostrzeżeń, aby określić priorytety dla nowych przypadków użycia i aplikacji, aby skutecznie wzmocnić swoją postawę bezpieczeństwa.

Treść IBM w celu wzbogacenia i korelowania alertów

Wzbogacenie dodaje więcej informacji do znormalizowanych alertów (spostrzeżeń), które pochodzą z oddzielnych narzędzi w celu określenia istotności alertu. Usługa IBM X-Force Threat Intelligence udostępnia wynik ryzyka dla obserwowanych w alercie (plikach, adresach IP, adresach URL, domenach). Reguły wzbogacania pochodzące od IBM poszukaj konkretnych elementów obserwacyjnych w alertach, które dostosowują wynik ryzyka.

Korelacja występuje po wzbogaceniu. Podobne spostrzeżenia są gromadzone z obsługiwanych narzędzi (źródeł danych), a w jednym przypadku-z powiązanymi alertami, dla analityków w celu dalszego badania. Jeśli alert jest zgodny z poprzednim, na podstawie warunku (właściwości), są one skorelowane ze sobą, w oparciu o skumulowany wynik ryzyka, w przypadku analityka, który ma być zbadany.

Reguły i kolejne aktualizacje są pobierane automatycznie z programu IBM Security App Exchange. Jeśli dostępna jest nowa lub zaktualizowana treść IBM , użytkownik jest powiadamiany o tym w produkcie Detection and Response Center.