IBM QRadar EDR 能保護端點免受網路攻擊,幾即時地檢測異常行為,並立即採取補救措施
利用 AI 幫助自動識別和管理威脅,APT 端點主動防禦最佳利器
概述
IBM QRadar EDR 在 MITRE ROUND 4 – 2022 MITRE ATT&CK® Evaluations 技術評測結果:
- 無需設定變更,即可偵測
- 無延遲偵測,在第一時間就發現
實現端點安全保障的獨特方法
IBM QRadar ReaQta 是一個功能強大且易於使用的端點檢測和回應 (EDR) 解決方案,能幫助企業保護其端點免受零日威脅與APT攻擊。 它使用智慧自動化、人工智慧檢測引擎和機器學習,以即時檢測異常行為並對威脅採取補救措施。以識別新的攻擊方式,異常活動和橫向移動,以保護終端免受不斷發展的網路威脅。
當應對攻擊者能在網路內快速移動並且不被注意的技術,需要一種不依賴於靜態特徵的新型解決方案,而是動態的、自我適應的、並且能夠發現微弱的信號。IBM QRadar EDR可以迅速發現這類的攻擊。
IBM QRadar EDR 透過使用者友好的介面,為安全分析人員提供整個端點生態系統的深度視覺化管理,包括每次攻擊形成的視覺故事線。高級行為分析和可定制的檢測策略能解決從應對未知威脅到滿足企業特定需求的一切事項。 IBM QRadar EDR還包括 Cyber Assistant,能從分析人員的決策中學習並自主處理警報,從而減少誤報,並將分析人員的工作負載減到最低。
優點
不易察覺的設計功能
NanoOS 是一種基於虛擬機器管理程式的獨特方法,可在作業系統外部工作,獨特的NanoOS為分析人員提供了前所未有的詳細資訊,包含端點上運行的流程和應用提供深度視覺化管理,同時,也為攻擊者增加了極為困難的障礙。
自動化持續學習和改進
以 AI 驅動的自動威脅檢測與威脅追蹤包括指示器的遙測功能,可對其進行自訂配置,從而實現專有檢測與微觀化深度搜尋。
即時回應
引導式和自主補救能簡化並加快響應流程,為分析人員節省時間。 “網路助手”可從分析人員的決策中學習,然後保持所習得的行為模式,以減少誤報。
量身定制的威脅追蹤
自訂檢測策略超越現成可用的模式,能説明應對合規要求或公司特定需求,而無需重啟端點設備。
功能與特色
確保端點上運行的流程和應用實現深度視覺化管理
執行前預防
在全面執行前檢查檔案原始程式碼,如檢測到惡意程式碼即停止運行檔。
Nano 作業系統 (NanoOS) 和雙 AI 引擎
允許部分檢測和自主操作功能在端點離線狀態下也能運行。
自動化AI人工智慧分析,不須人力分析大量資料,系統自動判定威脅事件。
攻擊視覺化
AI自動分析惡意程式的活動,繪出關聯事件圖,提供完整的檢測和關聯警報資訊,包括攻擊的根本原因、風險評估和 MITRE ATT&CK 框架計畫。
行為樹:可針對警報和威脅提供完整的視覺化管理和監控。
行為樹故事線:發生攻擊時,就會自動建立便於使用者使用的視覺故事線,包括映射至 MITRE ATT&CK,提供全面視覺化管理和監控。
行為檢測
使用即時、且基於行為的異常檢測和回應功能,説明保護組織免受高級惡意軟體的攻擊和威脅。
威脅追蹤
針對威脅指標 (IOC)、二進位檔案和行為追蹤,啟用即時全基礎架構搜索。 自動化資料採擷有助於發現潛在威脅。
取證
針對調查啟用取證資訊的遠端收集,説明支持取證分析和重構攻擊者的活動。
威脅洞察
利用基於中繼資料的分析來加快分類和診斷,幫助分析人員識別潛在威脅。 啟用警報工件檢測和流行趨勢分析,確保一旦新二進位檔案被啟動,即可及時發現其蹤跡。
防止勒索軟體
行為特徵偵測勒索軟體行為,以檢測即將發生的攻擊,並阻止勒索軟體的執行。
特徵符掃描
使用啟發式和基於特徵符的預防功能。
API 訪問權
提供 IBM QRadar EDR引擎的 API 直接訪問權,有助於自動化工作流和整合外部平臺功能。
網路助手Cyber Assistant
部署 AI 驅動型警報管理系統,實現自主處理警報功能。 僅需觀察一次設定好的警報處理方式,就能立即學習分析人員的決策思路。
Cyber Assistant 警報
Cyber Assistant 是 AI 驅動的警報管理系統,能自主處理警報,從而減少分析人員的工作負載。
Cyber Assistant 建議
Cyber Assistant 會從分析人員的決策中學習,然後保留知識資本和所習得行為,以提供建議和協助減少誤報。
自訂檢測策略
透過檢測策略 (DeStra) 腳本,使用者可超越預配置模式,構建自訂檢測策略,以應對合規要求或公司特定需求,而無需重啟端點設備。
自訂運行手冊
利用自動化功能,可建立自訂的檢測、回應和補救運行手冊。
