Home
Security
QRadar
SIEM
Nel mondo iperconnesso di oggi, i criminali informatici agiscono con agilità e rapidità crescenti. Quindi, anche i team addetti alla sicurezza devono agire allo stesso modo. IBM QRadar SIEM aiuta i gruppi ad affrontare la sfida e a fornire risposte rapide con il rilevamento automatizzato delle minacce quasi in tempo reale.
QRadar SIEM può analizzare milioni di eventi quasi in tempo reale sfruttando migliaia di casi d'uso preconfigurati, analytics dei comportamenti dell'utente, analytics del comportamento della rete, dati di vulnerabilità dell'applicazione e X-Force Threat Intelligence per fornire avvisi ad alta fedeltà.
Gli aggressori si muovono più rapidamente che mai, per questo le organizzazioni devono utilizzare il rilevamento automatizzato delle minacce per rimanere all'avanguardia.
IBM ha rilevato una riduzione del 94% del tempo medio della distribuzione degli attacchi ransomware dal 2019 al 2021¹.
La durata del ciclo di vita dei phishing kit è aumentata almeno 2 volte all'anno dal 2019 al 2021².
Il contenimento di una violazione in meno di 200 giorni consente un risparmio medio di 1,1 milioni di USD³.
QRadar SIEM è costruito appositamente per analizzare sia gli eventi di log che le attività di rete. Questa abilità esclusiva permette a QRadar SIEM di fornire visibilità completa su tutto l'ambiente di sicurezza, compresi i dati sui vari endpoint, on-premise, su cloud e sui dispositivi di rete, per limitare i punti ciechi in cui potrebbero nascondersi le attività dannose.
Estendendo le funzionalità di rilevamento tramite un ampio set di 450 connettori di origini di dati e 370 applicazioni per funzionalità aggiuntive combinate con i flussi di rete, QRadar SIEM monitora l'intero percorso di attacco, spesso ignorato da altre soluzioni dotate di minore visibilità.
Gli eventi di log e le attività di rete vengono analizzati confrontandoli con i dati storici per scoprire le minacce note e sconosciute. X-Force Threat Intelligence fornisce contesto esterno al tuo ambiente, per identificare le minacce provenienti da malware, IP e URL noti, mentre User Behavior Analytics e Network Threat Analytics rilevano i pattern anomali utilizzando diversi modelli di machine learning. Migliaia di casi d'uso basati sulle tattiche MITRE ATT&CK sono immediatamente disponibili su X-Force App Exchange per aiutarti a individuare i pattern più recenti degli aggressori.
Quando gli attori delle minacce attivano più analytics di rilevamento, si spostano sulla rete o cambiano il proprio comportamento, QRadar SIEM monitora tutte le tattiche e le tecniche utilizzate e, soprattutto, correla, traccia e identifica le attività collegate tramite una kill chain, e consolida i dati in un unico avviso.
Il Punteggio di magnitudo è composto da 3 fattori:
- Rilevanza: quale impatto avrà sulla rete? (50% del punteggio di magnitudo)
- Gravità: quale livello di minaccia pone se si verifica? (30% del punteggio di magnitudo)
- Credibilità: a quale livello di integrità ti fidi delle origini di dati coinvolte? (20% del punteggio di magnitudo)
Per calcolare i punteggi di magnitudo vengono utilizzati algoritmi complessi. Anche fattori come il numero degli eventi, il numero delle origini, l'età, le vulnerabilità note e i rischi dell'origine dei dati aiutano a valutare un evento nell'ambiente.
Esistono vari tipi di attacco. Hai il set di casi d'uso appropriato per rilevare PowerShell o il movimento laterale?
QRadar SIEM Use Case Manager allinea le attività e le regole alle tattiche e alle tecniche MITRE ATT&CK per evidenziare visivamente la profondità di copertura durante le fasi di attacco.
Scarica i pacchetti di contenuti specifici per i casi d'uso da IBM App Exchange o costruisci i tuoi casi d'uso con Use Case Manager.
User Behavior Analytics utilizza il machine learning per determinare il comportamento normale degli utenti rispetto a quello degli individui e di un gruppo di persone, poi segnala le anomalie, come credenziali compromesse o escalation di privilegi fuori controllo, e assegna all'utente un punteggio di rischio. UBA usa 3 tipi di traffico per arricchire e abilitare il punteggio di rischio:
- Traffico che coinvolge accessi, autenticazione e modifiche agli account
- Comportamento degli utenti sulla rete, fra cui proxy, firewall, IP e VPN
- Log di endpoint e applicazioni, come quelli di Windows o Linux, e applicazioni SaaS
Network Threat Analytics (NTA) analizza i record di flusso sul tuo sistema per determinare i pattern di traffico normali utilizzando la modellazione di machine learning e poi confronta tutti i flussi in entrata con il modello di base più recente. Ogni flusso è assegnato a un punteggio outlier basato sui valori degli attributi di flusso e su quanto spesso viene osservato il tipo di comunicazione. Utilizzando NTA, gli analisti possono identificare rapidamente quali flussi indicano comportamenti sospetti e dare priorità alle indagini.
QRadar Network Insights (QNI) fornisce un'analisi più approfondita dei metadati di rete e dei contenuti delle applicazioni all'interno di un flusso. Il livello di base aggiunge altri 18 attributi, mentre il livello avanzato acquisisce dettagli come script o IP dannosi all'interno dei file trasferiti attraverso la rete. Utilizzando l'ispezione approfondita dei pacchetti, l'analisi dei contenuti di livello 7 e l'analytics dei file, QRadar Network Insights permette a QRadar SIEM di rilevare le attività di minaccia che, altrimenti, passerebbero inosservate.
La rilevazione delle minacce dal centro all'endpoint con QRadar SIEM protegge la tua organizzazione in diversi modi.
Integra le soluzioni di individuazione delle minacce informatiche di IBM Security nella tua strategia di sicurezza per contrastare e mitigare le minacce più rapidamente.
Integra i pacchetti di conformità in QRadar SIEM per garantire la conformità e automatizzare la segnalazione.
Rileva rapidamente le minacce ransomware rapidamente con QRadar SIEM per intraprendere azioni immediate e informate, riducendo al minimo o prevenendo gli effetti dell'attacco.
Nel 2023, il 70% degli attacchi informatici ha preso di mira i settori delle infrastrutture critiche. Consulta il nuovo report per insight più approfonditi sulle tattiche degli aggressori.
I costi delle violazioni dei dati hanno raggiunto nuove vette. Ricevi insight su come ridurre questi costi.
Per il quattordicesimo anno consecutivo, IBM è stata nominata Leader nel 2024 Gartner Magic Quadrant for SIEM.