确保端点上运行的流程和应用实现深度可视化管理
在全面执行前复查文件源代码,如检测到恶意代码即停止运行文件。
允许部分检测和自主操作功能在端点脱机状态下也能运行。
检测和关联警报信息,包括攻击的根本原因、风险评估和 MITRE ATT&CK 框架计划。
针对威胁指标 (IOC)、二进制文件和行为追踪,启用实时全基础架构搜索。自动化数据挖掘有助于发现潜在威胁。
针对调查启用取证信息的远程收集,帮助支持取证分析和重构攻击者的活动。
利用基于元数据的分析来加快分类和诊断,帮助分析人员识别潜在威胁。允许对警报伪像进行检测和流行率分析,以便在激活新的二进制文件后立即发现它们。
分析文件行为,以检测即将发生的攻击,并阻止恶意流程的执行。
使用启发式和基于签名的预防功能。
启用利用自动化创建自定义检测、响应和补救运行手册。
提供 QRadar EDR 引擎的 API 直接访问权,有助于自动化工作流程和集成外部平台功能。
部署 AI 驱动型警报管理系统,实现自主处理警报功能。仅需观察一次设定好的警报处理方式,就能立即学习分析人员的决策思路。
使用近实时、且基于行为的异常检测和响应功能,帮助保护组织免受高级恶意软件的攻击和威胁。
建议的网络
- 1G 网络,每日事件数不超过 9,000 万
- 10G 适用于每天 9,000 万个事件以上
注释
- 每个控制台最多可支持 5K 个端点
- 最低 OCP 配置为 3 个 Master-Worker 混合节点
安装
- 安装需要 Red Hat OpenShift Cluster 管理员级别的访问权限
- 需要 Red Hat OpenShift 技能和 VMware 许可*
- 许可通过审计快照进行管理。可以在 Kubernetes 集群和 IBM License Metric Tool (ILMT) 中创建审计快照
*正在开发的附加选项
官方文档通过 IBM Docs Tools 获取
- 通过 CLI 安装
- 通过 OCP Console 用户界面安装
- 通过 CASE 捆绑包安装
- 通过气隙网络上的 CASE 捆绑包安装
备份
- 支持备份和恢复,并进行记录