Gestione di regole e casi di utilizzo

Modifica in linea

IBM® Detection and Response Center fornisce una panoramica unificata dell'atteggiamento di sicurezza della propria organizzazione attraverso casi di utilizzo da diversi strumenti e piattaforme di sicurezza.

Le regole Sigma, che sono migliorate dai modelli STIX, sono utilizzate da Threat Investigator nelle relative indagini. È anche possibile eseguire i modelli STIX in Data Explorer. Per ulteriori informazioni, consultare il repository delle regole Sigma all'indirizzo https://github.com/SigmaHQ/sigma e la licenza all'indirizzo Detection Rule License (DRL) 1.1.

Le regole QRadar® vengono richiamate da una distribuzione SIEM QRadar quando l'app IBM QRadar Proxy è configurata.

Il contenuto IBM contiene regole di arricchimento e correlazione che lavorano insieme per raggruppare avvisi simili in casi per consentire agli analisti della sicurezza di investigare.

Esplora le regole di rilevamento tramite visualizzazione e report

  • Esplorare le regole tramite filtri differenti.
  • Personalizzare i prospetti per visualizzare solo le informazioni critiche per l'analisi.
  • Eseguire i modelli STIX dalle regole Sigma in Esplora dati.

Copertura delle minacce visive nel framework MITRE ATT & CK

  • Comprendere visivamente la capacità di rilevare le minacce in base a tattiche e tecniche ATT & CK.
  • Utilizzare nuovi insight per assegnare priorità al rollout di nuovi casi d'uso e app per potenziare efficacemente l'approccio alla sicurezza.

Contenuto IBM per l'arricchimento e la correlazione degli avvisi

L'arricchimento aggiunge ulteriori informazioni agli avvisi normalizzati (ricerche) che provengono dagli strumenti separati per determinare la severità dell'avviso. Il servizio IBM X-Force Threat Intelligence fornisce il punteggio di rischio per gli elementi osservabili in un avviso (file, indirizzi IP, URL, domini). Le regole di arricchimento da IBM cercano specifici osservabili negli avvisi che regolano il punteggio di rischio.

La correlazione si verifica dopo l'arricchimento. Risultati simili vengono raccolti da strumenti supportati (origini dati) e combinati in un unico caso, con avvisi correlati, per consentire agli analisti di indagare ulteriormente. Se una segnalazione corrisponde a una precedente in base alla condizione (proprietà), vengono correlate insieme, in base al punteggio di rischio cumulativo, in un caso che l'analista deve esaminare.

Le regole e gli aggiornamenti successivi vengono scaricati automaticamente da IBM Security App Exchange. Quando è disponibile un contenuto IBM nuovo o aggiornato, si riceve una notifica in Detection and Response Center.