QRadar SIEM 安全智能分析平台 - 凱信資訊

凱信資訊專精於 QRadar SIEM的導入服務,已有近10年的經驗,協助眾多企業導入SIEM 與 SOC建置及運維管理,並且無縫整合客戶既有系統,包含事件管理流程系統、資安聯防自動化,能有效及快速面對各種的資安威脅 

凱信資訊提供完整的自建SOC及資安事件運維管理形式,這些形式包含:

1. 資安事件監控中心 Security Operation Center (SOC)自建適用於有專職資安監控人員之中、大型企業客戶。

2. 駐點分析與監控(On-Site Analysis)適用於無法將事件傳送到MSS 之客戶,例如金融機構, 新竹高科技產業,並需要定期分析資安事件。

3. SIEM代管(7x24監控) - Managed SIEM適用於中大型企業客戶已自建SIEM/SOC,但尚未配置7x24小時監控人員,可透過凱信7x24監控中心遠端進行監控與管理。

IBM QRadar SIEM 安全智能分析平台

QRadar SIEM 解決方案包含日誌管理、網路流量活動監控等功能,內建全球安全研究機構IBM X-Force的威脅情資並能輕鬆結合第三方與各大ISAC情資,以及以機器學習為基礎的使用者行為分析(UBA)讓安全專業人員能快速獲取必要的可見性,從而協助其保護自身的網路、更加有效地保護 IT 資產,使其遠離日益加劇的高級威脅環境,並滿足當前資訊安全挑戰與法規遵循要求。企業無疑將從這種緊密整合的解決方案中受益,進而快速輕鬆地實現企業安全智慧。另外搭配QRadar Data Store授權,能提供資安日誌數據湖,能有效結省EPS授權費,並獲得對其IT資安環境更深入的洞察

IBM QRadar SIEM第三方評鑑報告

  • Gartner SIEM 報告,QRadar連續第11年居於領導者象限。
  • Forrest Wave , Security Analytics Platforms 報告,QRadar為最佳資訊安全分析平台。

IBM QRadar 涵蓋資安運維的事前、事中及事後各階段,提供完整的風險管理與事件調查分析能力

QRadar Platform

●   原始日誌的分析查詢,數位證據分析

IBM QRadar內建豐富之易於使用的事件過濾(Event Filtering)與的事件參數,在操作上非常容易,允許數位證據分析(forensics)容易向下鑽取到(Drill Down)特定事件的快速瀏覽和非常強大的使用者自定義搜索條件,無需了解任何SQL語法,就能快速制作報告。

QLM

●   視覺化即時資安戰情儀表板(Dashboard)

IBM QRadar 資安戰情儀表板,提供快速查詢的安全管理衡量指標之各種各樣的能力,並可依照客戶需求靈活的制定不同面向的資安關鍵指標。

Pulse

●   客戶可透過凱信資訊自行研發的即時網路攻擊(CyberSecurity Real-Time Attack Map),讓企業更能全面了解攻擊的狀況。

AttackMap

1.各種不同的資安指標(KPI)以及趨勢, 包含 Malware KPI , Botnet KPI , IPS Quarantine KPI ...等,讓企業能一目了然的清楚得知整體資安風險概況。

2.事件攻擊關聯拓樸圖,依照發生的事件進行關聯分析。

3.熱力圖 : 依照來源IP及工作站名稱進行登入成功與失敗分析

SOC Dashboard

●   內建IBM X-Force 威脅情資自動更新(Threat Intelligence)

內建IBM X-Force 威脅情資 , 超過15年的經驗 , 全世界規模最大、涉及面最廣的安全性漏洞庫目錄之一 ; 提供全球金融業(FS-ISAC)重要情資參考。

●  內建機器學習(Machine Learning)與使用者行為分析(UBA) , 有效進行內部使用者竊取公司機密資料偵測:

QRadar 能夠檢測複雜活動模式,如嘗試多次未能通過系統身份驗證,但成功登入後複製系統資訊並透過電子郵件發送資料的使用者。QRadar 透過監控及關聯日誌和流量來識別這種異常行為。

UBA 1

●   網路異常檢測與分析(network anomaly detection):

IBM QRadar 可監控第 7 層(Layer 7)流量與封包分析,並自動對超過 1,000 個應用程式和通訊協定進行辨識,以便開展高級威脅檢測和深入取證調查,內建超過100個Flow異常偵測關聯規則,主動偵測Malware , Worm , Port Scan , C&C連線 , New Services / Hosts Discovery , 異常傳輸量...等行為。

支援Mirror Port , Netflow , Jflow ..等收集方式。

QFlow

●  依據MITRE ATT&CK 制定上千條的專家知識庫與關聯規則(Correlation Rule):

透過凱信豐富的SIEM專案與SOC管理運維經驗所累積的知識庫,以及系統內建大量專家知識定義的關聯規則與Use Case,並支援MITRE ATT&CK Framework制定關聯規則,能快速有效偵進階持續性威脅,並且當企業遭受攻擊時,能更清楚了解是在那一個攻擊階段(MITRE ATT&CK Coverage)

UseCaseManager

●  高級威脅檢測:

QRadar 能夠主動發現帶有已知僵屍網路命令Botnet、進階持續性滲透攻擊APT和控制伺服器Command and Control Server連線、勒索軟體Ransonware (例如WannaCry) 的所有日誌活動,同時監控隱藏僵屍網路通信的流量,來檢測其他安全產品無法檢測到的僵屍網路感染行為。

   內建(Build-in)國際性標準之合規報表-PCI, SOX, FISMA, HIPAA, ISO 27001,COBIT...

IBM QRadar報表查詢功能,除了提供快速法規遵循查核報表及改善建議外內建數以千計的預設報表。

QRadar-Report

●   客製化案件管理平台 (Ticket System & Orchestrator)

透過客製化案件管理平台,將資安事件進行案件追蹤與管理,並能匯出成STIX以進行資安聯防監控情資回傳。

QRadar 提供全面的風險與事件調查與影響分析能力,包含事前(攻擊前的弱點管理)、事中的事件偵測與調查、事後的補救措施

 

IBM QRadar SIEM 結合日誌與網路分析、漏洞管理與掃瞄、資料外洩鑑識的 SIEM 管理平台