凱信資訊專精於 QRadar SIEM的導入服務,已有10年以上的經驗,協助全台數超過50家企業導入SIEM 與 SOC建置及運維管理,並且無縫整合客戶既有系統,包含事件管理流程系統、資安聯防自動化,能有效及快速面對各種的資安威脅。
凱信資訊提供完整的自建SOC及資安事件運維管理形式,這些形式包含:
1. 資安事件監控中心 Security Operation Center (SOC)自建,適用於有專職資安監控人員之中、大型企業客戶。
2. 駐點分析與監控(On-Site Analysis),適用於無法將事件傳送到MSS 之客戶,例如金融機構, 新竹高科技產業,並需要定期分析資安事件。
3. SIEM代管(7x24監控) - Managed SIEM,適用於中大型企業客戶已自建SIEM/SOC,但尚未配置7x24小時監控人員,可透過凱信7x24監控中心遠端進行監控與管理。
IBM QRadar SIEM 安全智能分析平台
QRadar SIEM 解決方案包含日誌管理、網路流量活動監控等功能,內建全球安全研究機構IBM X-Force的威脅情資,並能輕鬆結合第三方與各大ISAC情資,以及以機器學習為基礎的使用者行為分析(UBA),讓安全專業人員能快速獲取必要的可見性,從而協助其保護自身的網路、更加有效地保護 IT 資產,使其遠離日益加劇的高級威脅環境,並滿足當前資訊安全挑戰與法規遵循要求。企業無疑將從這種緊密整合的解決方案中受益,進而快速輕鬆地實現企業安全智慧。另外搭配QRadar Data Store授權,能提供資安日誌數據湖,能有效結省EPS授權費,並獲得對其IT資安環境更深入的洞察。
IBM QRadar SIEM第三方評鑑報告
- Gartner SIEM 報告,QRadar連續第13年居於領導者象限。
- Forrest Wave , Security Analytics Platforms 報告,QRadar為最佳資訊安全分析平台。
IBM QRadar 涵蓋資安運維的事前、事中及事後各階段,提供完整的風險管理與事件調查分析能力
● 原始日誌的分析查詢,數位證據分析
IBM QRadar內建豐富之易於使用的事件過濾(Event Filtering)與的事件參數,在操作上非常容易,允許數位證據分析(forensics)容易向下鑽取到(Drill Down)特定事件的快速瀏覽和非常強大的使用者自定義搜索條件,無需了解任何SQL語法,就能快速制作報告。
● 視覺化即時資安戰情儀表板(Dashboard)
IBM QRadar 資安戰情儀表板,提供快速查詢的安全管理衡量指標之各種各樣的能力,並可依照客戶需求靈活的制定不同面向的資安關鍵指標。
● 客戶可透過凱信資訊自行研發的即時網路攻擊(CyberSecurity Real-Time Attack Map),讓企業更能全面了解攻擊的狀況。
1.各種不同的資安指標(KPI)以及趨勢, 包含 Malware KPI , Botnet KPI , IPS Quarantine KPI ...等,讓企業能一目了然的清楚得知整體資安風險概況。
2.事件攻擊關聯拓樸圖,依照發生的事件進行關聯分析。
3.熱力圖 : 依照來源IP及工作站名稱進行登入成功與失敗分析
● 內建IBM X-Force 威脅情資自動更新(Threat Intelligence)
內建IBM X-Force 威脅情資 , 超過15年的經驗 , 全世界規模最大、涉及面最廣的安全性漏洞庫目錄之一 ; 提供全球金融業(FS-ISAC)重要情資參考。
● 內建機器學習(Machine Learning)與使用者行為分析(UBA) , 有效進行內部使用者竊取公司機密資料偵測:
QRadar 能夠檢測複雜活動模式,如嘗試多次未能通過系統身份驗證,但成功登入後複製系統資訊並透過電子郵件發送資料的使用者。QRadar 透過監控及關聯日誌和流量來識別這種異常行為。
● 網路異常檢測與分析(network anomaly detection):
IBM QRadar 可監控第 7 層(Layer 7)流量與封包分析,並自動對超過 1,000 個應用程式和通訊協定進行辨識,以便開展高級威脅檢測和深入取證調查,內建超過100個Flow異常偵測關聯規則,主動偵測Malware , Worm , Port Scan , C&C連線 , New Services / Hosts Discovery , 異常傳輸量...等行為。
支援Mirror Port , Netflow , Jflow ..等收集方式。
● 依據MITRE ATT&CK 制定上千條的專家知識庫與關聯規則(Correlation Rule):
透過凱信豐富的SIEM專案與SOC管理運維經驗所累積的知識庫,以及系統內建大量專家知識定義的關聯規則與Use Case,並支援MITRE ATT&CK Framework制定關聯規則,能快速有效偵進階持續性威脅,並且當企業遭受攻擊時,能更清楚了解是在那一個攻擊階段(MITRE ATT&CK Coverage)。
● 高級威脅檢測:
QRadar 能夠主動發現帶有已知僵屍網路命令Botnet、進階持續性滲透攻擊APT和控制伺服器Command and Control Server連線、勒索軟體Ransonware (例如WannaCry) 的所有日誌活動,同時監控隱藏僵屍網路通信的流量,來檢測其他安全產品無法檢測到的僵屍網路感染行為。
● 內建(Build-in)國際性標準之合規報表-PCI, SOX, FISMA, HIPAA, ISO 27001,COBIT...等
IBM QRadar報表查詢功能,除了提供快速法規遵循查核報表及改善建議外, 內建數以千計的預設報表。
● 客製化案件管理平台 (Ticket System & Orchestrator)
透過客製化案件管理平台,將資安事件進行案件追蹤與管理,並能匯出成STIX以進行資安聯防監控情資回傳,包含GSOC與FSOC。
QRadar 提供全面的風險與事件調查與影響分析能力,包含事前(攻擊前的弱點管理)、事中的事件偵測與調查、事後的補救措施
IBM QRadar SIEM 結合日誌與網路分析、漏洞管理與掃瞄、資料外洩鑑識的 SIEM 管理平台