QRadar Advisor with Watson 2.0:基于 AI 的安全平台的新发展
主要功能
将攻击与 MITRE ATT&CK 链对应起来
分析人员可利用每个攻击进程的置信度级别来验证威胁,直观显示攻击如何出现并发展,揭示仍然可能出现的策略。
通过分析人员学习循环实现更果断的上报过程
通过分析本地环境,QRadar Advisor 建议应该上报哪些新调查,以便协助分析人员更快速更果断地进行上报。
使用外部威胁情报订阅源增强 Watson 反馈
应用认知推理来发现可能的威胁,联系与原始事件相关的威胁实体,比如恶意文件、可疑 IP 地址和流氓实体,以便得出这些实体间的关系。自动接入 Watson for Cyber Security 以应用外部非结构化数据,包括威胁情报订阅源、网站和论坛等。
执行跨调查分析
QRadar Advisor 会自动通过相关事件将不同的调查联系起来,减少重复工作,将调查范围扩大到当前可能的事件和警报之外。
明确具有最高风险的一系列调查的优先级
发现具有最高风险的调查,同时运行多项调查,对数据进行排序和过滤,以便快速了解应该关注的地方。
主动调优环境,进而提高安全性
如果相同事件触发多项重复调查,确定您是否需要对环境进行其他调整。
客户成功案例
客户实际运用情况
-
快速收集洞察
问题
加快分析速度,节省分析人员的时间。
解决方案
自动调查妥协和可疑行为的指标。通过将数百万个外部源与本地数据关联起来,快速收集洞察,同时支持分析人员集中精力处理响应周期中更为复杂的环节。
-
认知推理
问题
直观显示威胁的范围和严重性。
解决方案
应用认知推理在发现的威胁实体之间建立关系,洞察更高优先级的风险。
-
加快现在和未来的响应速度
问题
由于误报、漏报或缺乏自动化可能遗漏某些事件。
解决方案
利用切实可行的信息制定补救决策。通过自动将已发现的威胁指标添加到观察列表中,确保您将来不会遗漏事件。
-
集中精力处理真实警报
问题
确定活跃威胁的普遍程度,以及它们是否相关。
解决方案
轻松了解与威胁相关的网络事件或流通信是否已通过网络,或者流量是否被现有防御网络阻止。 集中精力处理活跃中的威胁。
技术详细信息
软件需求
要安装和运行 IBM QRadar with Watson,环境中需要具有以下设置:
- IBM QRadar 7.2.8 或更高版本
- 本地和远程安全监控
- 必需的 QRadar 控制台网络访问
硬件需求
IBM QRadar with Watson 没有硬件需求。
您可能还对以下内容感兴趣
IBM Resilient Security Orchestration, Automation and Response (SOAR)
IBM Resilient Security Orchestration, Automation and Response (SOAR) Platform 是领先的事件响应流程编排和自动化平台。IBM Resilient SOAR Platform 能够轻松快速地与贵组织的现有安全和 IT 投资集成。它可以即时发出可操作的安全警报;提供重要的情报和事件上下文;进行自动调整以应对复杂的网络威胁。动态运行手册是 IBM Resilience SOAR Platform 的最新创新,提供应对复杂攻击所需的敏捷性、智能和成熟功能。