IBM Security QRadar Suite est une solution modernisée de détection et de réponse aux menaces conçue pour unifier l’expérience des analystes de sécurité et leur permettre d’intervenir plus rapidement tout au long du cycle de vie des incidents. Le portefeuille intègre une IA et une automatisation de niveau entreprise afin d’augmenter considérablement la productivité des analystes, ce qui permet aux équipes de sécurité dont les ressources sont limitées de travailler plus efficacement sur les technologies de base. La suite propose des produits intégrés pour la sécurité des terminaux (EDR, XDR, MDR), la gestion des journaux, les technologies SIEM et SOAR avec une interface utilisateur commune, des analyses partagées et des flux de travaux connectés.
En 2023, 70 % des cyberattaques ont ciblé les secteurs des infrastructures critiques. Consultez le nouveau rapport pour accéder à des informations plus approfondies sur les tactiques des pirates informatiques.
Lire les résultats de l'étude internationale sur les centres d'opérations de sécurité
Une interface utilisateur intuitive permet aux analystes de travailler plus rapidement et plus efficacement tout au long de leurs processus d’investigation et de réponse, avec des analyses partagées et des actions automatisées sur tous les produits. En utilisant des fonctionnalités d’IA uniques de niveau entreprise, les analystes peuvent automatiquement contextualiser et prioriser les menaces.
Fournis en tant que services sur AWS, les produits IBM Security QRadar Suite permettent un déploiement simplifié dans les environnements cloud et une intégration avec les données de journal Saas et le cloud public. La Suite comprend également une nouvelle fonctionnalité cloud native d’observabilité de la sécurité et de gestion de journal optimisée pour l’ingestion de données à grande échelle, la recherche à la seconde près et l’analyse rapide.
La Suite réunit les technologies de base nécessaires aux centres d’opérations de sécurité d’aujourd’hui, qui s’appuient sur une plateforme ouverte et un vaste écosystème de partenaires, avec plus de 900 intégrations prédéfinies pour choisir entre les produits IBM et les produits tiers. Elle comprend des fonctionnalités natives et préintégrées pour la détection de menaces, la gestion de Log et les technologies EDR, SIEM et SOAR.
Threat Investigator travaille avec la gestion de cas pour trouver les cas qui justifient une enquête et lance automatiquement une investigation. L’investigation récupère les artefacts liés au cas et lance l’exploration des données. Après avoir effectué plusieurs cycles d’exploration de données, Threat Investigator génère une chronologie de l’incident qui se compose des tactiques et techniques MITRE ATT&CK et d’un graphique en chaîne de l’incident.
La solution est fournie sous forme de SaaS sur AWS, ce qui vous permet d’être rapidement opérationnel et vous évite les mises à jour et la gestion continues. Vous pouvez ainsi vous concentrer sur la correction des vulnérabilités importantes et l’examen des conditions anormales.
La recherche fédérée vous permet de rechercher des données dans le cloud ou sur site de manière unifiée. Vous pouvez éliminer les silos de données et obtenir des analyses transversales grâce à une expérience de recherche intuitive qui ne nécessite aucun mouvement de données, ce qui libère des ressources informatiques.
Le collecteur de données permet de configurer et d’ingérer les données télémétriques en quelques clics. Il prend en charge de nombreux protocoles, notamment les protocoles passifs et actifs. Les protocoles passifs écoutent les événements sur des ports spécifiques tandis que les protocoles actifs utilisent des API ou d’autres méthodes de communication pour se connecter à une télémétrie externe qui interroge les événements.
Le centre rationalise l’adoption de nouveaux cas d’utilisation en centralisant la gestion des cas d’utilisation de détection et de réponse, pour plus de simplicité et d’efficacité. Vous pouvez utiliser la gestion des règles dans le cloud ou sur site pour afficher, créer et ajuster des règles avec l’éditeur de règles facile à utiliser.
L’intégration aux produits EDR et XDR, Log Insights, SIEM et SOAR vous aide à prendre des décisions plus rapides et plus précises. Des analyses et des actions sont automatiquement fournies dans les flux de travaux d’investigation et de réponse, y compris la capacité d’enrichir automatiquement les artefacts avec des renseignements sur les menaces, de créer des cas et des réponses recommandées.
« Nous voulions un outil facile à utiliser et qui ne nécessiterait pas des heures de formation pour apprendre à naviguer et parcourir des données afin de pouvoir consulter des événements de journal ou effectuer des analyses de trafic réseau », explique Andrew Frank, chef du service de sécurité informatique de Mohawk College.
« IBM a parfaitement répondu à nos attentes. L’équipe a fait preuve d’une grande souplesse, a été à l’écoute de nos demandes et a trouvé des solutions adaptées », déclare Thomas Strieder, VP des services de sécurité et des opérations informatiques du groupe chez ANDRITZ.
« Notre capacité à examiner une menace potentielle et à y réagir a changé. Notre culture a changé. Et notre préparation à la transformation numérique a changé grâce à l’équipe mondiale de DDI et d’IBM », explique Robert Oh, VP exécutif, responsable de la stratégie numérique d’entreprise du groupe Doosan et directeur des opérations chez Doosan Digital Innovation.