• 專人與您聯繫-資安共同供應契約

    凱信資訊通過「111年第三次電腦軟體共同供應契約採購(案號1110203)」資格審查,包含:第2組 資通安全威脅偵測管理(SOC)服務第3組 弱點掃描服務第4組 滲透測試服務 SOC監控服務 Read More
  • 7x24 SOC & MDR 資安威脅監控服務

    凱信資訊提供 7 x 24 全天候 SOC & MDR 資安委外監控服務 ,運用業界領先的SIEM平台與EDR解決方案,整合全球資安威脅情資訊,以及透過多年來所累積的經驗與上百個關聯規則檢測能力,能快速、有效偵測網路環境、重要伺服器、系統環境及網際網路所產生的資安事件,並進行事件分析、通報應變、案件追蹤處理、即時提供資安預警通報與建議防護措施。 Read More
  • Darktrace 人工智慧AI技術

    Darktrace 是全球首屈一指的資安防禦人工智慧公司,其企業免疫系統(Enterprise Immune System)是一套自我學習能力的人工智慧(AI) 資安防禦系統,自2013年成立以來,技術屢獲殊榮,已贏得了100多個獎項,是世界領先的網路威脅防禦的AI公司。 Read More
  • IBM QRadar SIEM 安全智能平台

    QRadar SIEM 協助企業集中管理內部所有系統、應用程式、資料庫與網路的活動,進行身份識別追蹤及異常檢測,強化企業資訊安全,打造企業內部安全智慧平台。QRADAR SIEM 已連續十年 居於 Gartner『領導象限』. Read More
  • CyberArk 特權帳號管理

    特權帳號管理系統可以在內部流程控管下提供特權帳號給申請人使用,可自動幫申請者以特權帳號check-out(取出帳密登入)系統,讓申請者完全不知道特權帳號的密碼狀況下登入存取系統特權帳號,使用完畢後系統自動將密碼變更降低風險,也可以在申請時間到期拒絕使用者再登入使用。使用者的行為都會被錄影。 Read More
  • IBM Guardium 資料庫與檔案稽核監控

    IBM Guardium 解決方案涵蓋了資料庫與檔案的活動監控與稽核 Read More
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

產品與服務項目

QRadar logo

QRadar SIEM 安全智能分析平台

Splunk logo

Splunk IT運營管理、SIEM管理平台

Guardium logo

Guardium 資料庫稽防護解決方案

SailPoint

Sailpoint身份與存取管理 / 檔案存取管理

cyberarklogo

CyberArk 特權帳號管理

delinia

Delinea 特權帳號管理、端點權限回收

BMC Helix Remedyforce

BMC Remedy / Helix IT服務管理

ServiceNow

ServiceNow

雲端流程與IT服務管理平台

Freshworks

Freshworks

雲端客服與IT服務管理平台

 BigFix

BigFix Patch更新派送 與 

Compliance自動化合規檢查

Ansible

Ansible 自動化管理

DarkTrace

Darktrace NDR

機器學習和人工智慧

resilient logo

IBM QRadar SOAR

資安事件協作、自動化及響應(SOAR)平台

Duo Logo Green

Cisco DUO多因子驗證 

FireEye logo

FireEye端點EDR解決方案

reaqta logo 

IBM QRadar 端點AI引擎EDR解決方案

IBM QRadar EDR 能保護端點免受網路攻擊,幾即時地檢測異常行為,並立即採取補救措施

利用 AI 幫助自動識別和管理威脅,APT 端點主動防禦最佳利器

 

概述

IBM QRadar EDR 在 MITRE ROUND 4 – 2022 MITRE ATT&CK® Evaluations 技術評測結果:

  • 無需設定變更,即可偵測
  • 無延遲偵測,在第一時間就發現

 

實現端點安全保障的獨特方法

IBM QRadar ReaQta 是一個功能強大且易於使用的端點檢測和回應 (EDR) 解決方案,能幫助企業保護其端點免受零日威脅與APT攻擊。 它使用智慧自動化、人工智慧檢測引擎和機器學習,以即時檢測異常行為並對威脅採取補救措施。以識別新的攻擊方式,異常活動和橫向移動,以保護終端免受不斷發展的網路威脅。

當應對攻擊者能在網路內快速移動並且不被注意的技術,需要一種不依賴於靜態特徵的新型解決方案,而是動態的、自我適應的、並且能夠發現微弱的信號。IBM QRadar EDR可以迅速發現這類的攻擊。

 

IBM QRadar EDR 透過使用者友好的介面,為安全分析人員提供整個端點生態系統的深度視覺化管理,包括每次攻擊形成的視覺故事線。高級行為分析和可定制的檢測策略能解決從應對未知威脅到滿足企業特定需求的一切事項。 IBM QRadar EDR還包括 Cyber Assistant,能從分析人員的決策中學習並自主處理警報,從而減少誤報,並將分析人員的工作負載減到最低。


優點

不易察覺的設計功能

NanoOS 是一種基於虛擬機器管理程式的獨特方法,可在作業系統外部工作,獨特的NanoOS為分析人員提供了前所未有的詳細資訊,包含端點上運行的流程和應用提供深度視覺化管理,同時,也為攻擊者增加了極為困難的障礙。

自動化持續學習和改進

以 AI 驅動的自動威脅檢測與威脅追蹤包括指示器的遙測功能,可對其進行自訂配置,從而實現專有檢測與微觀化深度搜尋。

即時回應

引導式和自主補救能簡化並加快響應流程,為分析人員節省時間。 “網路助手”可從分析人員的決策中學習,然後保持所習得的行為模式,以減少誤報。

量身定制的威脅追蹤

自訂檢測策略超越現成可用的模式,能説明應對合規要求或公司特定需求,而無需重啟端點設備。

 

功能與特色

確保端點上運行的流程和應用實現深度視覺化管理

執行前預防

在全面執行前檢查檔案原始程式碼,如檢測到惡意程式碼即停止運行檔。

Nano 作業系統 (NanoOS) 和雙 AI 引擎

允許部分檢測和自主操作功能在端點離線狀態下也能運行。

自動化AI人工智慧分析,不須人力分析大量資料,系統自動判定威脅事件。

攻擊視覺化

AI自動分析惡意程式的活動,繪出關聯事件圖,提供完整的檢測和關聯警報資訊,包括攻擊的根本原因、風險評估和 MITRE ATT&CK 框架計畫。

行為樹:可針對警報和威脅提供完整的視覺化管理和監控。

Reaqta 1

行為樹故事線:發生攻擊時,就會自動建立便於使用者使用的視覺故事線,包括映射至 MITRE ATT&CK,提供全面視覺化管理和監控。

Reaqta 2

行為檢測

使用即時、且基於行為的異常檢測和回應功能,説明保護組織免受高級惡意軟體的攻擊和威脅。

威脅追蹤

針對威脅指標 (IOC)、二進位檔案和行為追蹤,啟用即時全基礎架構搜索。 自動化資料採擷有助於發現潛在威脅。

取證

針對調查啟用取證資訊的遠端收集,説明支持取證分析和重構攻擊者的活動。

威脅洞察

利用基於中繼資料的分析來加快分類和診斷,幫助分析人員識別潛在威脅。 啟用警報工件檢測和流行趨勢分析,確保一旦新二進位檔案被啟動,即可及時發現其蹤跡。

防止勒索軟體

行為特徵偵測勒索軟體行為,以檢測即將發生的攻擊,並阻止勒索軟體的執行。

特徵符掃描

使用啟發式和基於特徵符的預防功能。

API 訪問權

提供 IBM QRadar EDR引擎的 API 直接訪問權,有助於自動化工作流和整合外部平臺功能。

網路助手Cyber Assistant

部署 AI 驅動型警報管理系統,實現自主處理警報功能。 僅需觀察一次設定好的警報處理方式,就能立即學習分析人員的決策思路。

Cyber Assistant 警報

Cyber Assistant 是 AI 驅動的警報管理系統,能自主處理警報,從而減少分析人員的工作負載。

Cyber Assistant 建議

Cyber Assistant 會從分析人員的決策中學習,然後保留知識資本和所習得行為,以提供建議和協助減少誤報。

自訂檢測策略

透過檢測策略 (DeStra) 腳本,使用者可超越預配置模式,構建自訂檢測策略,以應對合規要求或公司特定需求,而無需重啟端點設備。

自訂運行手冊

利用自動化功能,可建立自訂的檢測、回應和補救運行手冊。

QRadar 與 Splunk 整合

現今,許多大型企業都意識到網路資安監控和響應中檢測到的威脅的重要性。 這些組織的安全分析師負責報告組織內發生的日誌和網路活動。目前有多種解決方案可使用日誌管理產品提供日誌數據報告。

Splunk日誌管理平台在搜索和報告方面提供了出色的通用日誌管理功能。Splunk在跨領域執行簡單查詢方面非常出色,例如商業分析、數據查詢。 

QRadar使得複雜的安全用例易於實現和維護,因為QRadar它本身更專注於安全領域。QRadar的重點是易於使用,準確,快速的威脅檢測和響應,透過內建的安全智能(關聯規則,威脅情資與UBA),並整合人工智慧(AI)與自動化簡化安全操作。

而現在,QRadar與Splunk整合,能讓雙方的客戶變得更容易管理安全問題了! QRadar安全智能平台提供了一種創新工具,可透過QRadar App for Splunk(用於Splunk數據轉發的IBM QRadar應用程序)檢索從一個或多個Splunk Instances到QRadar部署的轉發日誌。

Splunk 到 QRadar

Splunk日誌數據以原始系統日誌格式轉發到QRadar,QRadar的安全智能平台能夠獲取Splunk的原始數據,透過QRadar的日誌分析引擎發送,以便從500多種類型的設備中進行解析和關聯。

對於分析師有效降低風險並準確檢測和響應威脅,他們需要配備協同工具以支持整個響應生命週期。

QRadar可在整個攻擊週期內提供準確的即時洞察,幫助您更快地預測和檢測威脅。 因此,您可以更快地響應,減少威脅的影響並更快地恢復。

整合QRadar和Splunk

QRadar App for Splunk Data Forwarding此整合提供了配置從一個或多個Splunk Universal或Heavy Forwarders自動轉發日誌到QRadar部署的功能,並包括Splunk日誌源的自動同步。透過整合兩個平台,我們可以了解在指定的Splunk Instances上監視哪些源類型。

QRadar的安全智能平台允許快速入門和管理Splunk日誌源,以透過現有的設備支持(DSM)和相關的自定義屬性對收集的數據進行解析和關聯。 透過QRadar進而顯示了分析就緒數據,在QRadar的日誌活動中豐富了企業上下文和安全分類。


Splunk QRadar

 

QRadar 到 Splunk 

QRadar 可將整理後的數據,轉送至Splunk ,透過Splunk 豐富的儀表板進行關鍵資料的呈現,並節省貴公司Splunk 的授權

你準備好進行無縫整合了嗎?

QRadar App for Splunk的獨特性和強大之處在於它與Splunk平台的無縫整合,可提供即時日誌收集,快速啟動多個日誌來源,實現高級自動分析和事件日誌關聯,無需手動配置各個設備日誌來源。

QRadar Advisor with Watson 做為SOC安全分析師的最終大腦,能透過IBM Watson 人工智慧進行快速分析,並回報相關的攻擊或惡意連線情況。

AI攻擊與AI防禦的對決

人工智慧正在改變網路安全遊戲,62% 網路安全專家認為,駭客已經開始用 AI 來進行網路攻擊,透過AI提高攻擊效率,而企業更需要透過AI技術來面對駭客的攻擊,當AI防禦遇上AI攻擊,「以子之矛,攻子之盾」正在資安界上演。

利用 Watson AI技術進行認知安全,人工智慧讓網路更安全

隨著網路攻擊的數量和複雜度增加,人工智慧 (AI) 正在幫助資源不足的資訊安全部門領先威脅。而IBM QRadar Advisor with Watson認知安全是一種先進的人工智慧 (AI),利用各種形式的人工智慧技術(包括自然語言處理、機器學習演算法和深度學習網路),隨著時間變得更強大且更聰明。

IBM QRadar Advisor with Watson旨在擴展人類智慧、在每一次互動中學習,以主動偵測、分析及提供對威脅的可行洞察,使分析師能夠更有信心且以更快的速度回應威脅。

建構更聰明的安全免疫系統

智能

IBM QRadar Advisor with Watson 透過自然語言處理人類為自身建立的非結構化資料,從數百萬個研究檔、部落格和新聞事件中策劃威脅情報,並將其與結構化資料相關聯,最後將數十億個資料構件 透過機器學習和深度學習技術進行訓練,因此IBM QRadar Advisor with Watson增進了其「理解」網路安全威脅和網路風險的知識,能即時發掘新洞察,幫助您對抗數千個每日警示雜訊,從而大幅縮減回應時間。

準確

IBM QRadar Advisor with Watson  收集洞察並使用推理來識別威脅之間的關係,例如惡意檔案、可疑的 IP 位址或內部人員,通過豐富的威脅調查和即時情報,能連接其他技術未發現的隱藏資料點,並在每一次互動中學習,以連接威脅之間的點,並提供切實可行的洞察,以及準確地識別威脅及惡意活動。

快速

IBM QRadar Advisor with Watson消彌了耗時的研究作業,並提供精心策劃的風險分析,減少了資訊安全部門做出重大決策所耗費的時間量。

透過IBM QRadar Advisor with Watson自動化的分析,僅需費時數分鐘,從而使資訊安全部門能夠以高達快 60 倍的速度回應威脅。因此資訊安全部門可以更有信心且以更快的速度來回應威脅。

整合既有的投資

IBM QRadar Advisor with Watson 能無縫整合企業既有已投資之ArcSight 與 Splunk 或其他相關資安日誌管理軟體, 透過這樣的方式,將這些SIEM或Log Management管理平台上之資安事件,透過IBM QRadar Advisor with Watson進行分析,以快速辨識出是否有遭受攻擊,大大的減少資安分析人員在分析上的時間,並能將現有的投資發揮至最大效益。

Q Watson 3

最新的分析技術

IBM QRadar Advisor with Watson 除了採用各種先進的人工智慧技術(包括自然語言處理、機器學習演算法和深度學習網路)以外,還運用了MITRE ATT&CK 高級滲透測試攻擊矩陣框架來呈現攻擊階段與攻擊態勢。

Q Watson 1

美國非營利性組織 MITRE 的ATT&CK(對抗戰術、技術與常識)是在公共和私營公司、學術機構和政府機構的幫助下建立的一個全球性網路對手戰術和技術知識庫。該知識庫能夠闡明威脅,並以通用的語言和框架來定義,從而跨越多學科的障礙以推動安全性的改進。通過在許多不同的組織中收集各種各樣的攻擊檢測分析,用戶可以更好地檢測到攻擊者,進而建立彈性和欺騙性策略,幫助客戶快速適應和應對網路攻擊。

MITRE ATT&CK 是一套針對網路對手行為的資料庫模型,旨在反映敵對方生命周期內的各個階段以及其所能掌握的目標平台,適用於理解已知的對手行為可能帶來的安全風險、規劃安全改進、以及驗證防禦措施是否能夠帶來與預期相符的收效等工作。資安分析人員可以利用 ATT&CK 得知攻擊者在企業網路攻擊時目前所進行到的階段,以便採取相關行動。

Q Watson 2

網路安全 AI 全面啟動

瞭解這些組織如何利用人工智慧的威力來提升其網路安全狀態。

溫布頓網球錦標賽

溫布頓與 IBM Security 合作來保護其數位化活動,防止在此著名體育賽事期間遭到數以千計的網路攻擊。

嘉吉銀行

在金融服務是最被設定為目標的行業的情況下,嘉吉銀行透過部署人工智慧安全解決方案,採取了積極主動的方法來保護客戶的資料。

瑞士證交所

瑞士證交所採用AI技術打造智能的安全營運中心。

IBM Optim Test Data Management 的 Data Masking Solution 能最佳化與自動化測試資料管理程序。預先建置的工作流程及隨需應變服務,能有助進行連續測試及敏捷的軟體開發。並且能幫助開發和測試團隊使用實際、大小適中的測試資料庫或資料倉儲,加速應用程式的開發。

IBM Optim Test Data Management 可協助組織:

1. 資料庫隱碼 (Data Masking)

  • 在測試資料庫建立測試資料,並且去識別化或對資料做隱碼。
  • 在資料進入大數據(Hadoop)平台時,將資料去識別化或對資料做隱碼。

2. 快速測試資料建立 (Test Data Management)

  • 在應用程式、資料庫及作業系統之間使用單一可擴充式企業解決方案
  • 簡化測試資料管理程序,幫助減少成本並加快應用程式交付。
  • 以隨需應變的方式為開發和測試人員分析和重新整理測試資料
  • 建立類似正式作業的環境,以縮短反覆運算測試週期、支援連續測試,以及加快上市時間。
  • 根據商業原則保護機密資料,並幫助降低風險(這些風險發生於於測試、訓練和開發環境中)。
  • 根據您的營運規模建立測試資料庫:您可以開發比較小型、比較實際、可以精確地反映正式作業資料的子集,以加快測試速度。
  • 測試結果自動化,找出隱藏錯誤:執行測試後,軟體會分析資料「之前」與「之後」的映像檔,自動偵測差異,並將結果匯出成報告,省下您數小時的手動檢查時間。
  • 輕鬆維護及重新整理測試環境:精簡的測試資料庫,管理及維護起來也很方便,有助縮短測試週期,加快部署新應用程式。
  • 縮短測試週期、加快上市時間:迅速精確的測試能及時導正應用程式,加快產品上市。

測試資料管理的步驟:

Optim TDM essentials

IBM Optim Test Data Management與Rational的軟體品質管理結合:

Optim and Rational

 

Optim TDM Process

為什麼您應該在下次發生重大入侵事件前 先行善用網路流量資料

 從網路安全的觀點來說,企業組織最後還是登上新聞版面的原因就在於自身無法偵測、遏止與控制入侵事件。入侵事件無法避免,但企業組織是否會登上新聞版面,還是取決於自身偵測入侵行為的速度,以及因應這類狀況的方式。

企業組織也應謹記,發生入侵事件除了會導致罰鍰/懲處和聲譽受損外,今日的敵人就是實際、進階與持續的威脅。敵人站穩腳步後,即會攻佔您的基礎架構網路,確保陣地。

為了成功協助保障企業組織安全,您必須徹底瞭解網路上發生的事情。也就是說,您應該集中收集與分析來自特定類型來源的資料。(這類收集作業)目標是獲取可據此採取行動的資訊,並提供給安全分析師。

網路流量資料

網路流量資料是重要的類型資訊,能夠提供特定內容,為打造「智慧型資安」架構提供堅實基礎。在檢視上述某些特定內容前,我們先來想想網路流量資料是什麼。

網路流量資料是從兩個主機之間,針對某個時間範圍(也稱為間隔)內觀察到的一連串封包擷取(透過路由器這類的網路裝置)而來。接下來,該資料會被轉送到流量收集器,以供分析之用。

唯一流量是由下列七個關鍵欄位組合定義而成:來源位址、目的地位址、來源埠號、目的地埠號、通訊協定類型、服務類型(ToS)及輸入邏輯介面(路由器或交換器介面)。系統會追蹤這些欄位,如果發現這些欄位的任何封包值為不重複的特定值,便會建立新的流量記錄。

就轉送給流量收集器的資訊來說,擷取深度取決於產生上述流量記錄的裝置,以及用來匯出資訊的通訊協定(netflow v5與IPFix)。流量檢查可在OSI模型的不同層執行,範圍從Layer 2(資料連結)到Layer 7(應用程式)。檢查的層級越多,提供給安全分析師的資訊就越有意義(越能據此採取行動)。

日誌事件資料和網路流量資料間的主要差異,在於事件(通常是日誌項目)發生於單一時間點且可更改。相形之下,網路流量紀錄無法更改,且其中描述的是具備特定期限的狀況(這類狀況可持續數分鐘、數小時或數天,視工作階段內觀察到的活動而定)。舉例來說,web get要求可能會在一分鐘內拉下多個檔案和影像,而觀看電影Netflix的使用者,其工作階段可能會持續一小時以上。

 

現在,讓我們進一步探討前述的「特定內容」。

輕鬆部署不費力

網路流量資料的部署輕鬆不費力,因為網路本身會在少數幾個傳輸點(例如網際網路邊界)彙總大部分的流量,而且變更傳輸點時不易發生配置錯誤。

一切連接網路,全數無所遁形

從安全角度來說,我們可以完全假設,即便不是全部,但凡是對企業組織運作而言相當重要的裝置,大部分都是在網路上作業(與互動)。這些裝置由個人(工作站、行動裝置等等)主動控制,或大多自主運作(伺服器、安全端點等等)。

此外,攻擊者總是藉由假造安全日誌和存取日誌的方式試圖移除攻擊痕跡,但他們無法竄改網路流量資料。

最可靠的能見度,網路絕不說謊

安全調查相關資料的收集來源通常來自於下列兩種類型:

來自端點(工作站、行動裝置等等)、伺服器(LDAP、DNS、Web等等)、網路裝置(防火牆、入侵偵測系統、Proxy伺服器等等)的日誌,記錄方式是使用代理程式或遠端記錄。

來自網路基礎架構(路由器、交換器等等)的網路流量資料。

日誌的問題在於系統總是會連接到企業組織無法從中收集資料的裝置(無法使用代理程式或遠端紀錄)。即使設有安全政策進行控管,僅有獲得核准的裝置可以連接到網路,但重要的關鍵是能夠確保沒有惡意使用者將未受管理的裝置(或服務)連上網路。

此外從過去的經驗來看,惡意使用者會主動試圖規避主機代理程式和遠端紀錄,因此主機的日誌資料不見得正確。對於未受管理的裝置,最直接的裝置相關資訊來源就是網路。

最後,網路資料的明確定義是由通訊協定,但通訊協定的更新速度極為緩慢。不過日誌資料的情況就不是如此,其格式多半紀錄不完善、綁定特定版本且未經標準化,容易頻繁變更。

自動減少誤判的最有效方法

「防火牆/ACL允許」通知不代表確實通訊成功。相對地,網路流量資料可用來確認通訊是否成功。如果能夠在通訊失敗時發出警示,即可大幅減少誤判,進而為安全分析師省下寶貴時間。

不僅限於基本的網路流量資料

傳統的網路流量技術,原本的用途是讓網路管理者能夠監控網路,並精準找出網路壅塞情況。近來,安全分析師發現網路流量資料(例如來源與目的地IP位址、埠號、服務類型及流量方向)還能協助他們找出網路入侵。不過,這類基本的流量資料本就不是為了偵測最縝密的攻擊(APT)而設計。這類資料無法提供所需的深入可見度,例如網路傳輸檔案的雜湊、偵測到的應用程式(而不是埠號)等。傳統網路流量資料欠缺這種程度的可見度,因此難以提供可據此採取行動的資訊給安全分析師。

隨著攻擊行動日趨縝密,企業組織應該要使用專門設計的解決方案深入詳查檢查特定通訊(例如從網際網路傳入的資料流量),這類解決方案能夠:

執行詳細的封包剖析與分析(採取線速和被動模式);

提供各種豐富的網路流量資料(透過等標準通訊協定,可定義如何格式化流量資料,並將該資料從匯出器傳送到收集器)。

流程中產生的豐富網路流量資料,可用來擴增相關警示的優先順序。該資料還可新增到事件中,加速警示處理的研究與解決過程。

為什麼企業組織應充分善用網路流量資料?

因為只要妥善運用,上述內容可讓安全分析師在調查事件時充分掌握情況。網路資料可提供額外與立即的深入可見度,是可讓您透視環境的「水晶球」。更重要的是,網路資料還能充分提供協助,偵測出最縝密的攻擊行為(如果只靠日誌資料進行偵測調查,可能會錯失這類攻擊)。如果能夠協調使用網路流量資料,以及從某些角度來看較不可靠的日誌資料,企業組織就可以及早妥善偵測攻擊,進行徹底調查。簡言之,網路流量資料有助於為企業組織提供其他方式,掌握縝密無比的攻擊行為,因此不應遭到忽略。

IBM QRadar SIEM 如何為您的企業組織提供協助?

準備萬全,可識別異常行為和其他外洩指標,藉此偵測及因應入侵事件的企業組織就不會登上新聞版面。

建立流量資料和事件資料之間的關聯,偵測出無法單靠日誌識別的威脅。

可提供網路流量、辨識Layer 7應用程式,而且還能掌握每個階段作業的起頭。

讓過去隱藏的威脅和惡意行為無遁形,攻擊者無法隱身在您的網路中。

即時分析網路資料,發現攻擊者的蹤跡。

提早暴露潛在的安全威脅,以免對企業組織造成損害,這類威脅包括:網路釣魚電子郵件、惡意軟體、資料洩漏、水平擴散、和其他應用程式濫用行為,以及合規落差。