功能聚焦

根据用户行为异常检测内部威胁

用户行为分析和细粒度机器学习算法可以检测到用户何时偏离正常活动模式或行为表现异于同伴。QRadar UBA 可创建正常活动基线,检测重大偏离情况,揭示恶意的内部人员以及凭证惨遭网络犯罪分子窃取的用户。

与 IBM QRadar 无缝集成

QRadar UBA 直接集成到 QRadar Security Intelligence 平台中,因此可利用现有的 QRadar 用户界面和数据库。所有企业范围的安全数据都可以保留在一个中心位置,分析人员可以调整规则,生成报告以及与免费的身份与访问管理 (IAM) 解决方案集成,而不必学习新系统或构建新集成。

生成个人用户的详细风险评分

风险评分会根据用户活动动态变化,可将高风险用户添加到观察列表中。安全分析人员可以轻松深入探查,查看导致个人风险评分增高的操作、攻击、日志和流数据。这有助于缩短与内部威胁相关的调查和响应时间。

可通过 IBM Security App Exchange 获取

QRadar UBA 被打包为可下载的应用,独立于平台的常规发布周期。所有当前 QRadar 客户都可将此应用添加到 QRadar V7.2.8 或更高版本,以开始查看网络中以用户为中心的活动视图。

IDC 实验室验证简介:IBM QRadar with UBA

客户成功案例

ATEA Sverige AB 案例研究的预览图像

IBM QRadar SIEM 有助于满足更高的欧盟安全法规要求

ATEA Sverige AB

客户实际运用情况

  • 洞悉内部威胁

    问题

    检测网络攻击,优先处理安全事件,有效应对内部威胁。

    解决方案

    发现异常行为,更加快速高效地识别利用惨遭泄露凭证的恶意内部人员和网络犯罪分子。

  • Watson Investigations 截屏

    扩展 QRadar 平台功能

    问题

    监视个人用户潜在的恶意活动是人工流程,需要使用许多互不关联的工具。

    解决方案

    UBA 仪表板集成在 QRadar 控制台之中,有助于扩展现有功能,以便更好地发现高风险用户。从 UBA 应用的单个用户详细信息页面调查任何用户的异常行为。

  • 显示最近攻击的仪表板的截屏

    监控企业中的用户风险

    问题

    确定环境的总体运行状况以及用户为其带来的风险。

    解决方案

    应用机器学习生成用户的风险评分,识别高风险用户,仅针对风险最高的活动发出警报,提供早期威胁预警,而无需太多的分析人员。

技术详细信息

软件需求

为获得最佳体验,将 QRadar 系统升级到 QRadar 7.2.8 补丁 13(或更高版本),或者 QRadar 7.3.1 补丁 6(或更高版本)。

  • QRadar V7.2.8 或更高版本
  • Mozilla Firefox 45.2 Extended Support Release
  • Google Chrome(最新版本)

硬件需求

  • UBA 应用需要应用内存池中的 1.2 GB 可用内存。
  • 任何 ML 模型所监视的用户的最大数量为每 5 GB 40000 个,总共 160000 个用户。

您可能还对以下内容感兴趣

IBM QRadar SIEM

IBM Security QRadar SIEM 可整合散布在网络各处的数以千计的设备、端点和应用中的日志事件和网络流数据。

IBM QRadar Advisor with Watson

应用人工智能调查 IOC,提供威胁的上下文信息。

IBM QRadar Network Insights

实时检测网络流量以揭示隐藏威胁。

IBM QRadar on Cloud

提供 QRadar SIEM 的 SaaS 版本,在 IBM Cloud 中托管。