IBM® Security QRadar Suite es una solución modernizada de detección y respuesta a amenazas diseñada para unificar la experiencia del analista de seguridad y acelerar su velocidad a lo largo de todo el ciclo de vida de la incidencia. La cartera incluye IA y automatización de nivel empresarial para aumentar drásticamente la productividad de los analistas, ayudando a los equipos de seguridad con recursos limitados a trabajar de forma más eficaz en las principales tecnologías. Ofrece productos integrados para la seguridad de endpoints (EDR, XDR, MDR), gestión de registros, SIEM y SOAR, todo ello con una interfaz de usuario común, información compartida y flujos de trabajo conectados.
En 2023, el 70 % de los ciberataques se dirigieron a industrias de infraestructuras críticas. Consulte el nuevo informe para obtener información estratégica más profunda sobre las tácticas de los atacantes.
Lea los resultados del estudio del centro de operaciones de seguridad global
Una interfaz de usuario intuitiva permite a los analistas trabajar de manera más rápida y eficiente a lo largo de sus procesos de investigación y respuesta, con información compartida y acciones automatizadas en todos los productos. Mediante el uso de capacidades únicas de IA de nivel empresarial, los analistas pueden contextualizar y priorizar automáticamente las amenazas.
Entregados como un servicio en AWS, los productos de IBM Security QRadar Suite permiten una implementación simplificada en entornos de nube y la integración con datos de registro SaaS y de nube pública. La suite también incluye una nueva capacidad de gestión de registros y observabilidad de seguridad nativa de la nube optimizada para la ingesta de datos a gran escala, búsqueda en fracciones de segundo y análisis rápidos.
La suite reúne las tecnologías principales necesarias en los centros de operaciones de seguridad actuales, construidas en una plataforma abierta y un amplio ecosistema de socios con más de 900 integraciones prediseñadas para ofrecer flexibilidad y elección entre IBM y productos de terceros. Incluye capacidades nativas preintegradas para Threat Intelligence, Log Management, EDR, SIEM y SOAR.
Threat Investigator funciona en colaboración con Case Management para encontrar casos que justifiquen una investigación y comienza a investigar automáticamente. La investigación obtiene artefactos relacionados con el caso e inicia la minería de datos. Después de que Threat Investigator completa varias rondas de minería de datos, genera un cronograma del incidente que consiste en tácticas y técnicas de MITRE ATT&CK, además de un gráfico de cadena del incidente.
El método de entrega de SaaS en AWS le permite un funcionamiento inmediato, sin necesidad de actualizaciones ni administración continuas. Le permite concentrarse en parchear vulnerabilidades importantes y revisar condiciones anómalas.
La búsqueda federada le permite buscar datos en la nube o en las instalaciones de manera única y unificada. Puede desglosar los silos de datos y desbloquear información estratégica multifuncional con una experiencia de búsqueda intuitiva que no requiere movimiento de datos, por lo que no utiliza recursos de TI.
El recopilador de datos permite configurar e ingerir datos de telemetría con solo unos cuantos clics. Admite muchos protocolos, incluidos pasivos y activos. Los protocolos pasivos escuchan eventos en puertos específicos, mientras que los protocolos activos usan API u otros métodos de comunicación para conectarse a la telemetría externa que sondea eventos.
El centro optimiza la adopción de nuevos casos de uso y centraliza la gestión de casos de uso de detección y respuesta, con lo que reduce la complejidad y mejora la eficiencia. Puede usar la administración de reglas en la nube o en las instalaciones para ver, crear y ajustar con el editor de reglas, que es fácil de usar.
La integración entre EDR y XDR, Log Insights, SIEM y SOAR le ayuda a tomar decisiones más rápidas y precisas. Los datos y las acciones se proporcionan automáticamente en todos los flujos de trabajo de investigación y respuesta, incluida la capacidad de enriquecer de manera automáticas los artefactos con inteligencia sobre amenazas, crear casos y respuestas recomendadas.
“Queríamos una herramienta fácil de usar, que no requiriera mucha capacitación, para que los usuarios pudieran navegar y buscar en los datos, tanto para ver los registros de eventos como para analizar el tráfico de la red”, afirma Andrew Frank, director de servicios de seguridad informática del Mohawk College.
“IBM hizo exactamente lo que esperábamos. Fueron súper flexibles. Escucharon nuestras demandas. Y dieron con las soluciones adecuadas”, afirma Thomas Strieder, vicepresidente del grupo de seguridad informática y servicios operativos de ANDRITZ.
“Nuestra capacidad de detectar y reaccionar a una posible amenaza. Nuestra cultura ha cambiado. Y nuestra preparación para la transformación digital ha cambiado con el equipo global de DDI e IBM”, dice Robert Oh, vicepresidente ejecutivo, jefe de estrategia digital corporativa de Doosan Group, y director de operaciones de Doosan Digital Innovation.