En el mundo hiperconectado de hoy, los ciberdelincuentes actúan cada vez con mayor agilidad y rapidez. Y lo mismo deben hacer los equipos de seguridad. IBM QRadar SIEM ayuda a los equipos a afrontar el reto de la respuesta rápida con detección de amenazas automatizada y casi en tiempo real.
QRadar SIEM puede analizar millones de eventos casi en tiempo real utilizando miles de casos de uso predefinidos, análisis del comportamiento de los usuarios, análisis del comportamiento de la red, datos de vulnerabilidad de las aplicaciones y X-Force Threat Intelligence para ofrecer alertas de alta fidelidad.
Descargue el Índice de inteligencia de amenazas de 2024
Lea el resumen de la solución
Vea la demostración de QRadar SIEM
Dado que los atacantes se mueven más rápido que nunca, las organizaciones deben utilizar la detección automatizada de amenazas para mantenerse a la vanguardia.
IBM calculó una reducción del 94% en el tiempo medio de despliegue de los ataques de ransomware de 2019 a 2021.¹
La vida útil de los kits de phishing aumentó más de 2 veces cada año de 2019 a 2021.²
Detener una infracción en menos de 200 días ahorra una media de 1,1 millones de dólares.³
QRadar SIEM se ha diseñado específicamente para analizar tanto los eventos de registro como la actividad de la red. Esta capacidad única permite a QRadar SIEM proporcionar una visibilidad completa de su entorno de seguridad, incluidos los datos de los endpoints, el entorno local, la nube y los dispositivos de red, para limitar los puntos ciegos en los que podría esconderse actividad maliciosa.
Al ampliar sus capacidades de detección de amenazas a través de un amplio conjunto de 450 conectores de fuentes de datos y 370 aplicaciones para una funcionalidad añadida combinada con flujos de red, QRadar SIEM monitoriza la ruta de ataque completa que a menudo otras soluciones con menos visibilidad pasan por alto.
Los eventos de registro y la actividad de la red se analizan con datos históricos para descubrir amenazas conocidas y desconocidas. X-Force Threat Intelligence proporciona contexto del mundo exterior a su entorno para ayudar a identificar amenazas de malware, IP y URL conocidas, mientras que User Behavior Analytics y Network Threat Analytics detectan patrones anómalos mediante el uso de una serie de modelos de machine learning. Miles de casos de uso basados en las tácticas de MITRE ATT&CK están disponibles para su uso inmediato y en X-Force App Exchange para ayudar a detectar los últimos patrones de los atacantes.
Cuando los actores de amenazas activan múltiples análisis de detección, se mueven por la red o cambian sus comportamientos, QRadar SIEM rastrea cada táctica y técnica utilizada. Y lo que es más importante, correlaciona, rastrea e identifica las actividades relacionadas a lo largo de una cadena de ataque y consolida los datos en una única alerta.
La puntuación de magnitud se compone de 3 factores:
- Relevancia: ¿Qué impacto tendrá en su red? (50 % de la puntuación de magnitud)
- Gravedad: ¿Qué nivel de amenaza supone si se produce? (30 % de la puntuación de magnitud)
- Credibilidad: ¿Con qué nivel de integridad confías en las fuentes de datos implicadas? (20% de la puntuación de magnitud)
Para calcular la puntuación de magnitud se utilizan complejos algoritmos. Factores como el número de eventos, el número de fuentes, la antigüedad, las vulnerabilidades conocidas y el riesgo de la fuente de datos ayudan a evaluar un evento en su entorno.
Los ataques adoptan todo tipo de formas y tamaños. ¿Dispone del conjunto adecuado de casos de uso para detectar PowerShell o movimientos laterales?
QRadar SIEM Use Case Manager alinea la actividad y las reglas con las tácticas y técnicas de MITRE ATT&CK para resaltar visualmente su profundidad de cobertura a través de las fases de ataque.
Descargue de forma gratuita paquetes de contenidos específicos de casos de uso desde IBM App Exchange o cree sus propios casos de uso con Use Case Manager.
El análisis del comportamiento del usuario utiliza machine learning para determinar el comportamiento normal del usuario en relación con el individuo y un grupo de pares aprendido y, a continuación, señala anomalías como credenciales comprometidas o escalada de privilegios fraudulenta y asigna al usuario una puntuación de riesgo. UBA utiliza 3 tipos de tráfico para enriquecer y permitir la puntuación de riesgo:
- Tráfico de acceso, autenticación y cambios de cuenta
- Comportamiento de los usuarios en la red, incluidos proxies, firewalls, IP y VPN
- Registros de endpoints y aplicaciones, como Windows o Linux, y aplicaciones SaaS
Network Threat Analytics (NTA) analiza los registros de flujo de su sistema para determinar los patrones de tráfico normales mediante el uso de modelos de machine learning y, a continuación, compara todos los flujos entrantes con el último modelo de referencia. A cada flujo se le asigna un valor atípico basado en los valores de los atributos del flujo y en la frecuencia con la que se observa el tipo de comunicación. Mediante el uso de NTA, los analistas pueden identificar rápidamente qué flujos podrían indicar un comportamiento sospechoso y priorizar las investigaciones.
QRadar Network Insights (QNI) proporciona un análisis más profundo de los metadatos de red y del contenido de las aplicaciones dentro de un flujo. El nivel básico añade 18 atributos adicionales, mientras que el nivel avanzado puede capturar detalles como un script malicioso o PI dentro de los archivos que se transfieren a través de la red. Mediante el uso de inspección de paquetes en profundidad, análisis de contenido de Capa 7 y análisis de archivos, QRadar Network Insights permite a QRadar SIEM detectar actividades de amenazas que de otro modo pasarían desapercibidas.
La detección de amenazas desde el centro hasta el punto final con QRadar SIEM protege a su organización de varias maneras.
Incorpore las soluciones de búsqueda de ciberamenazas de IBM Security a su estrategia de seguridad para contrarrestar y mitigar las amenazas con mayor rapidez.
Integre paquetes de cumplimiento en QRadar SIEM para garantizar el cumplimiento y automatizar la generación de informes.
Detecte rápidamente las amenazas de ransomware con QRadar SIEM, de modo que pueda tomar medidas inmediatas y fundamentadas para minimizar o prevenir los efectos del ataque.