QRadar Advisor with Watson 2.0:AI 型安全平台的後續演進
主要功能
根據 MITRE ATT&CK 鏈辨識攻擊
分析師可以利用每次攻擊進展的信賴水準,以驗證威脅、將攻擊如何發生和目前進展情況視覺化,並揭露還可能出現什麼戰術。
讓分析師更果斷進行呈報處理程序的學習循環
QRadar Advisor 透過區域環境分析,建議應該呈報哪些新調查,以協助分析師推動更快速和更果斷的呈報。
使用外部威脅情報資訊來源來加強 Watson 的回饋
運用認知推理來識別可能的威脅,並連結與原始事件相關的威脅實體,例如惡意檔案、可疑的 IP 位址和惡意實體,以描繪這些實體之間的關係。自動啟用 Watson for Cyber Security 以套用外部非結構化資料,包括威脅情報資訊來源、網站、論壇等等。
執行跨調查分析
QRadar Advisor 自動透過相連的事件來串起調查,以減少重複的工作,並將調查範圍延伸到現行可能的事件和警示之外。
有最大風險的調查優先順序清單
識別有最大風險的調查、同時執行多項調查,以及排序和過濾資料,以快速瞭解您的注意力應該放在何處。
主動調整環境來加強安全性
在有相同事件觸發多個重複調查的情況下,決定您是否需要另外調整環境。
客戶個案研討
客戶如何運用
-
快速收集洞察
問題
加速分析和騰出分析師的時間。
解決方案
自動調查有害行為和可疑行為的指標。與本端資料的使數百萬個外部來源產生關聯,以快速收集洞察,同時讓分析師注專於回應週期中比較複雜的部分。
-
認知推理
問題
將威脅的範圍和嚴重性視覺化。
解決方案
運用認知推理,在探索到的威脅實體之間建立關係,並洞察優先順序較高的風險。
-
更快地回應 - 現在和未來
問題
因為誤肯定、誤否定或缺乏自動化的關係,可能會遺漏事件。
解決方案
使用可行的資訊來制定補救決策。自動將探索到的威脅指標加入觀察名單,以確保您在未來不會遺漏事件。
-
聚焦處理真實警報
問題
判斷作用中威脅有多盛行,以及它們之間是否相關。
解決方案
輕鬆地查看相關網路威脅或與威脅相關的流程通訊是否已暢行無阻,還是已被現有防禦網路封鎖資料流量。將注意力集中在作用中的威脅。
技術詳細資料
軟體需求
若要安裝與執行 QRadar Advisor with Watson,您將需要在您的環境中具有下列設定:
- IBM QRadar 7.2.8 或以上版本
- 本端與遠端安全監控
- 需要 QRadar Console Internet Access
硬體需求
IBM QRadar with Watson 沒有硬體需求。
您可能也會對以下項目感興趣
IBM Security SOAR
IBM Resilient Security Orchestration, Automation and Response (SOAR) Platform 是用於協調與自動執行事件回應程序的先進平台。IBM Resilient SOAR Platform 可輕鬆快速地整合您組織現有的安全與 IT 投資。它可以將安全警示變成可立即行動的根據,提供有價值的情報和事件脈絡,並針對複雜的網路威脅提供適當回應。IBM Resilient SOAR Platform Dynamic Playbook 的最新創新提供應付複雜攻擊所需的敏捷、智慧和精密。