Examine le code source des fichiers avant l’exécution complète et interrompt cette dernière si un code malveillant est détecté.
Permet certaines capacités de détection et de fonctionnement autonome même lorsque les points de terminaison sont hors ligne.
Détecte et corrèle les informations sur les alertes, notamment la cause première d’une attaque, l’évaluation des risques et le cadre MITRE ATT&CK.
Permet de rechercher des indicateurs de compromission (IOC), des binaires et des comportements en temps réel dans l’ensemble de l’infrastructure. La fouille automatisée de données facilite la reconnaissance de menaces dormantes.
Permet la collecte à distance d’informations contextuelles dans le cadre d'une enquête, contribuant à l’analyse contextuelle et à la reconstruction des activités d’un agresseur informatique.
Aide les analystes à identifier les menaces potentielles grâce à une analyse basée sur les métadonnées pour accélérer le triage. Permet de détecter et d’analyser la prévalence des artefacts d’alerte pour découvrir de nouveaux binaires dès leur activation.
Analyse les comportements des fichiers pour détecter les attaques imminentes et peut empêcher l'exécution des processus malveillants.
Utilise l’heuristique et une prévention basée sur les signatures.
Permet de créer des protocoles de détection, de réponse et de résolution personnalisés via l'automatisation.
Fournit un accès API direct aux moteurs QRadar EDR, ce qui est utile pour l’automatisation des flux de travaux et l’intégration avec des plateformes externes.
Permet un système de gestion des alertes alimenté par l’IA qui traite les alertes de manière autonome. Il peut apprendre instantanément la décision d’un analyste après avoir vu une seule fois une alerte donnée.
Utilise des capacités de détection et de réponse aux anomalies en temps quasi réel, basées sur le comportement, pour protéger les entreprises contre les attaques et les menaces de logiciels malveillants avancés.
Réseau suggéré
- 1 G de mise en réseau pour 90 millions d’événements par jour ou moins
- 10 G pour plus de 90 millions d’événements par jour
Remarques
- Prend en charge jusqu’à 5 K terminaux/consoles
- La configuration OCP minimale est de 3 hybrides Master-Worker
Installation
- L’accès au niveau administrateur de Red Hat OpenShift Cluster est requis pour l’installation
- Compétences Red Hat OpenShift et licence VMware requises*
- Les licences sont gérées par le biais d’instantanés d’audit. Les instantanés d’audit peuvent être créés dans les clusters Kubernetes et dans IBM License Metric Tool (ILMT).
*Autres options en cours de développement
Documentation officielle par l’intermédiaire des outils IBM Docs
- Installation par la CLI
- Installation par l’interface utilisateur OCP Console
- Installation par l’offre groupée CASE
- Installation par l’offre groupée CASE sur un réseau isolé
Sauvegardes
- La sauvegarde et la restauration sont prises en charge et documentées
Intégrez QRadar EDR avec IBM Security QRadar SIEM pour enrichir vos logs SIEM d'alertes hautement fidèles au niveau des points de terminaison sans impact sur votre nombre d'EPS.
Intégrez QRadar SOAR et QRadar EDR pour faire remonter les cas provenant des utilisateurs, des terminaux et des actifs informatiques.