QRadar Advisor with Watson 2.0:基于 AI 的安全平台的新发展
主要功能
将攻击与 MITRE ATT&CK 链对应起来
分析人员可利用每个攻击进程的置信度级别来验证威胁,直观显示攻击如何出现并发展,揭示仍然可能出现的策略。
通过分析人员学习循环实现更果断的上报过程
通过分析本地环境,QRadar Advisor 建议应该上报哪些新调查,以便协助分析人员更快速更果断地进行上报。
使用外部威胁情报订阅源增强 Watson 反馈
应用认知推理来发现可能的威胁,联系与原始事件相关的威胁实体,比如恶意文件、可疑 IP 地址和流氓实体,以便得出这些实体间的关系。自动接入 Watson for Cyber Security 以应用外部非结构化数据,包括威胁情报订阅源、网站和论坛等。
执行跨调查分析
QRadar Advisor 会自动通过相关事件将不同的调查联系起来,减少重复工作,将调查范围扩大到当前可能的事件和警报之外。
明确具有最高风险的一系列调查的优先级
发现具有最高风险的调查,同时运行多项调查,对数据进行排序和过滤,以便快速了解应该关注的地方。
主动调优环境,进而提高安全性
如果相同事件触发多项重复调查,确定您是否需要对环境进行其他调整。
客户成功案例
客户实际运用情况
-
快速收集洞察
问题
加快分析速度,节省分析人员的时间。
解决方案
自动调查妥协和可疑行为的指标。通过将数百万个外部源与本地数据关联起来,快速收集洞察,同时支持分析人员集中精力处理响应周期中更为复杂的环节。
-
认知推理
问题
直观显示威胁的范围和严重性。
解决方案
应用认知推理在发现的威胁实体之间建立关系,洞察更高优先级的风险。
-
加快现在和未来的响应速度
问题
由于误报、漏报或缺乏自动化可能遗漏某些事件。
解决方案
利用切实可行的信息制定补救决策。通过自动将已发现的威胁指标添加到观察列表中,确保您将来不会遗漏事件。
-
集中精力处理真实警报
问题
确定活跃威胁的普遍程度,以及它们是否相关。
解决方案
轻松了解与威胁相关的网络事件或流通信是否已通过网络,或者流量是否被现有防御网络阻止。 集中精力处理活跃中的威胁。
技术详细信息
软件需求
要安装和运行 IBM QRadar with Watson,环境中需要具有以下设置:
- IBM QRadar 7.2.8 或更高版本
- 本地和远程安全监控
- 必需的 QRadar 控制台网络访问
硬件需求
IBM QRadar with Watson 没有硬件需求。
您可能还对以下内容感兴趣
IBM Security SOAR
IBM Resilient Security Orchestration, Automation and Response (SOAR) Platform 是领先的事件响应流程编排和自动化平台。IBM Resilient SOAR Platform 能够轻松快速地与贵组织的现有安全和 IT 投资集成。它可以即时发出可操作的安全警报;提供重要的情报和事件上下文;进行自动调整以应对复杂的网络威胁。动态运行手册是 IBM Resilience SOAR Platform 的最新创新,提供应对复杂攻击所需的敏捷性、智能和成熟功能。