全球疫情或乌克兰战争等破坏稳定的事件为网络罪犯的滋生创造了机会。每天都有新的威胁出现,同时,犯罪分子会找到更狡猾的途径来访问贵公司的资产和数据。
实时适应需要大量的威胁情报和时间。IBM® X-Force® 在 170 多个国家/地区开展业务,为成千上万的客户管理安全性运营。这种对全球威胁态势的能见度为 IBM Security QRadar SIEM 使用的 X-Force® Threat Intelligence Platform 提供信息,用于识别贵公司存在的威胁。
如何在免去数小时研究时间的情况下自动检测环境中的最新威胁?
使用来自 IBM X-Force Threat Intelligence Platform 的全球研究和数据,及时了解最新的趋势威胁。
QRadar SIEM 中包含的 IBM X-Force Threat Intelligence Platform 使用汇总的 X-Force® Exchange 数据1。您还可以集成来自其他威胁情报订阅源的数据,帮助您的组织在应对新出现的威胁和最新漏洞方面保持领先地位。
威胁情报检测 事件,例如:
- 动态范围的 IP 地址连续尝试登录
- 匿名代理连接到业务合作伙伴门户网站
- 内部端点与已知的僵尸网络命令和控制之间的连接
- 端点与已知恶意软件分发站点之间的通信
威胁情报允许您按风险值对 QRadar 中新的事件类型进行排名,并将其与其他安全数据无缝集成。例如,您可以从 IBM X-Force Exchange 导入危险 IP 地址的公共集合,然后创建规则来提高包括该观察列表中所含 IP 地址的任何攻击的严重程度。
QRadar SIEM 使用来自 IBM X-Force Threat Intelligence 和其他威胁情报来源的最新恶意 IP 地址、URL 和恶意软件文件哈希,因此您的 SIEM 平台可以检测到世界上最新的关键和高级威胁。
IBM Advanced Threat Protection Feed by X-Force Exchange 提供已定义的一套可操作指示符,可直接摄取到安全工具和解决方案之中。您可以查看、搜索和更新订阅源。
STIX 和 TAXII 是机器可读、易于自动化的通信标准,用于共享有关网络威胁的信息。STIX(结构化威胁信息表达)定义了威胁情报中包含的信息,而 TAXII(可信自动情报交换)定义了该信息的传递方式。IBM 威胁情报平台支持您的公司以 STIX 和 TAXII 格式将威胁信息上传和下载到全球网络。
无论是商业版还是企业版,Exchange API 都允许您与全球社区中的同行协作,汇总全球研究并共同对威胁情报采取行动。
IBM Threat Intelligence Platform for QRadar SIEM 可以与威胁情报服务集成。
由 CrowdStrike 的威胁分析师、安全研究人员、文化专家和语言学家组成的精英团队为您提供情报,助您领先对手。
QRadar 版 Mandiant Advantage 应用程序将 Mandiant 的一线情报带到 QRadar,突出显示网络中的泄露指标 (IOC),让您识别和探索最重要的指标。
Cofense Intelligence 为安全团队提供有关犯罪基础架构的背景信息,以扩展到超出预期的 IOC,使团队能够看清对手的全面操作,而不是快速变化的一次性操作。
ZeroFox 为企业提供保护、情报和干扰,以便在综合性平台上识别和消除外部威胁。
IntSights 提供最新的 IOC,因此您可以持续同步网络和安全解决方案,从而加快事件响应并威胁工作流程。
1允许您在 QRadar 相关规则和 AQL 中使用 X-Force Threat Intelligence 数据