高度に接続された今日の世界では、サイバー犯罪者の活動の俊敏性とスピードは増すばかりです。セキュリティー・チームもこれに対応しなければなりません。IBM QRadar SIEMは、ほぼリアルタイムの自動脅威検知機能を備え、チームがこうした迅速な対応に関する課題に取り組むのに役立ちます。
QRadar SIEMは、数千もの事前構築済みのユースケース、User Behavior Analytics、Network Behavior Analytics、アプリケーションの脆弱性データ、X-Force脅威インテリジェンスの活用で、ほぼリアルタイムで数百万件のイベントを分析し、高精度のアラートを配信できます。
脅威インテリジェンス・インデックス 2024
ソリューションの概要を読む
QRadar SIEMのデモを見る
攻撃の進展がこれまでにないほど速いため、組織は脅威検知を自動化して一歩先を行く必要があります。
IBMの調査によれば、2019年から2021年にかけて、ランサムウェア攻撃の平均展開時間は94%短縮しました。¹
フィッシング・キットの寿命は、2019年~2021年で毎年2倍以上に増加しています。²
侵害を200日以内に封じ込めることで、平均で110万米ドルを節約できます。³
QRadar SIEMは、ログ・イベントとネットワーク・アクティビティーを分析することを目的として構築されています。この独自の機能により、QRadar SIEMは、エンドポイント、オンプレミス、クラウド、ネットワーク・デバイス間のデータを含むセキュリティー環境全体を包括的に可視化し、悪意のあるアクティビティーが隠れている恐れのある盲点を制限できます。
QRadar SIEMは、450個という広範なデータソース・コネクターと、ネットワーク・フローと組み合わせて機能を追加する370のアプリケーションによって脅威検知機能を拡張したことで、可視性が少ない他のソリューションでは見逃されがちな攻撃経路をすみずみまで監視できます。
ログ・イベントとネットワーク・アクティビティーを履歴データと比較して分析し、既知や未知の脅威を明らかにします。X-Force Threat Intelligenceが、既知のマルウェア、IP、URLからの脅威特定に役立つ外部世界のコンテキストを組織の環境に提供し、同時にUser Behavior AnalyticsとNetwork Threat Analyticsが、多くの機械学習モデルを用いて異常なパターンを検知します。MITRE ATT&CK戦術に基づく数千件のユースケースが、すぐに利用できるだけでなく、最新の攻撃者パターンを検知するためのX-Force App Exchangeでも利用できます。
脅威アクターが複数の検知分析をトリガーする、ネットワーク上を動き回る、これまでと違う動作をするといった場合に、QRadar SIEMはそれぞれの戦術や手法を追跡します。さらに重要なことに、キルチェーン全体で関連するアクティビティーを相関させ、追跡、特定し、データを一つのアラートにまとめることができます。
重大度スコアは次の3つの要素からなります。
- 関連性:ネットワークにどれくらいの影響を与えるか(重大度スコアの50%)
- 重大度:発生した場合にどれくらいの脅威を与えるか(重大度スコアの30%)
- 信頼性:関連するデータ・ソースをどれくらいの整合性で信頼できるか(重大度スコアの20%)
重大度スコアの計算には、複雑なアルゴリズムを使っています。イベント件数、ソース数、経過時間、既知の脆弱性、データ・ソースのリスクなどの要素はすべて、組織の環境内のイベントを評価するのに役立ちます。
攻撃はさまざまな形態や大きさでやってきます。PowerShellや横移動の検知に役立つユースケースはあるでしょうか。
QRadar SIEM Use Case Managerでは、アクティビティーやルールをMITRE ATT&CKの戦術や手法に合わせて、攻撃フェーズ全体における組織の対応範囲と深度を視覚的に強調します。
IBM App Exchangeからユースケース固有のコンテンツ・パックを無料でダウンロードするか、Use Case Managerで独自のユースケースを構築できます。
ユーザー振る舞い分析は、機械学習を使用して、個人と学習したピア・グループに対して通常のユーザーの振る舞いを判別し、認証情報の漏洩や不正な権限昇格などの異常について警告を送り、ユーザーにリスク・スコアを割り当てます。UBAは、次の3種類のトラフィックを使用して、リスク・スコア評価を強化し、有効にします。
- アクセス、認証、アカウント変更に関するトラフィック
- ネットワーク上のユーザーの振る舞い(プロキシー、ファイアウォール、IP、VPNなど)
- エンドポイントとアプリケーションのログ(Windows、Linuxなど)、SaaSアプリケーション
Network Threat Analytics(NTA)では、機械学習モデリングを用いてシステム上のフロー・レコードを分析し、正常なトラフィック・パターンを判別し、 すべての受信フローを最新のベースライン・モデルと比較します。各フローに対して、フロー属性値および通信の種類が観察される頻度に基づいて、外れ値スコアが割り当てられます。NTAを使うと、アナリストは疑わしい動作と考えうるフローをすばやく特定し、調査に優先順位をつけることができます。
QRadar Network Insights(QNI)により、フロー内のネットワーク・メタデータやアプリケーション・コンテンツをさらに詳しく分析できます。基本レベルでは18の追加属性を追加でき、アドバンスト・レベルでは、ネットワーク経由で転送されるファイル内の悪意あるスクリプトや個人情報などの詳細をキャプチャーできます。QRadar Network Insightsで詳細なパケット検査、レイヤー7コンテンツ分析、ファイル分析を利用することで、QRadar SIEMで他の方法では見過ごされることの多い脅威アクティビティーを検知できるようになります。
QRadar SIEMによる中心からエンドポイントまでを対象とした脅威の検出は、さまざまな方法で組織を保護します。
IBM Securityのサイバー脅威ハンティング・ソリューションをセキュリティー戦略に組み込むことで、脅威への対応と脅威の軽減がより迅速になります。
コンプライアンス・パックをQRadar SIEMに統合することで、コンプライアンスを確保し、レポートを自動化できます。
QRadar SIEMでランサムウェアの脅威を迅速に検知できるため、情報に基づいたアクションをすばやく実行して、攻撃の影響を防止または最小限に抑制できます。
脚注
1, 2 X-Force脅威インテリジェンス・インデックス2023、IBM
3 X-Force脅威インテリジェンス・インデックス2022、IBM