IBM QRadar Network Insights (QNI)
下面幾項有什么共同點?
99%的網(wǎng)絡(luò)攻擊以某種方式穿透網(wǎng)絡(luò)����。內(nèi)部攻擊收集本地系統(tǒng)數(shù)據(jù)- Enterprise Management Associates
將網(wǎng)絡(luò)分析更進(jìn)一步
QRadar事件取證和網(wǎng)絡(luò)數(shù)據(jù)包捕獲(QRadar Incident Forensics and Network Packet Capture)可以捕獲,重建并回放整個會話
事件響應(yīng)
事件偵察
QRadar 網(wǎng)絡(luò)洞察( QRadar Network Insights)也會讓你發(fā)現(xiàn)��,在會話中任何時候是否有可疑主題或你關(guān)注的主題
QFlow 提供網(wǎng)絡(luò)流分析的所有優(yōu)勢����,可以識別7層流中的應(yīng)用程序,并可以捕獲進(jìn)程的包頭�����。
“網(wǎng)絡(luò)流量實質(zhì)上是網(wǎng)絡(luò)上兩個主機(jī)之間的對話記錄……這個信息很像電話賬單:你不能說出談話中所說的話,但你可以用它來證明誰和誰說話”�����。 – SANS Institute
QRadar網(wǎng)絡(luò)流分析
連續(xù)分析資產(chǎn):收集和監(jiān)視網(wǎng)絡(luò)通信��,自動識別和分類新資產(chǎn)��,并發(fā)現(xiàn)他們正在運行的服務(wù)和端口����。識別影子IT和他們在部署的新設(shè)備。
成功的通信/傳輸:通過觀察可見的下載/上傳量����,了解可疑通信是否真的發(fā)生。
異常檢測:詳細(xì)分析時間活動���,以提供對新的或意外行為的可見性��。
應(yīng)用監(jiān)測
未授權(quán)的流量:告警違反策略的行為和交通��,例如�����,發(fā)送到不可信的地理區(qū)域或不安全協(xié)議
協(xié)議誤用和濫用
可見性和合規(guī)
高級威脅檢測:通過所有網(wǎng)絡(luò)流量(應(yīng)用程序�����、主機(jī)��、協(xié)議���、網(wǎng)絡(luò)區(qū)域)的行為分析和異常檢測來檢測惡意軟件和病毒/蠕蟲活動
QRadar 網(wǎng)絡(luò)洞察(QRadar Network Insights)
QRadar QNI – 完善整個場景
填補重要空白
那是什么?
• 誰和誰在通信?
• 什么文件和數(shù)據(jù)在交換 ?
• 像惡意活動嗎 ?
• 是否包含重要或敏感數(shù)據(jù)?
• 是否使用了惡意應(yīng)用?
• 這是我們網(wǎng)絡(luò)中的新威脅嗎 ?
• 如果是,它在哪里��,它做了什么?
威脅檢測全覆蓋
為今天的網(wǎng)絡(luò)安全挑戰(zhàn)帶來可見性
實時分析網(wǎng)絡(luò)流量
進(jìn)程重建和應(yīng)用程序分析
提取關(guān)鍵元數(shù)據(jù)和內(nèi)容
全數(shù)據(jù)包荷載和應(yīng)用程序內(nèi)容分析
內(nèi)部可疑內(nèi)容檢測
覆蓋網(wǎng)絡(luò)威脅的整個周期:網(wǎng)絡(luò)釣魚
網(wǎng)絡(luò)釣魚
“95%的企業(yè)網(wǎng)絡(luò)攻擊都是成功的魚叉式網(wǎng)絡(luò)釣魚的結(jié)果����。” - SANS Institute
在用戶有機(jī)會打開網(wǎng)絡(luò)釣魚郵件之前檢測它們
檢測和提取可疑的電子郵件的主題、內(nèi)容及附件讓Qradar可以在用戶訪問他們的收件箱之前檢測到攻擊��。
又有人被釣魚了……
快速確定誰被釣魚�,他們?nèi)绾位貞?yīng),是誰泄露信息��。
主要用例:數(shù)據(jù)泄露
秘密被暴露
“50%的組織機(jī)構(gòu)認(rèn)為他們有定期機(jī)密數(shù)據(jù)泄露”- Enterprise Management Associates
我的專有數(shù)據(jù)被發(fā)送到哪里���??��?��?
實時發(fā)現(xiàn)正在通過電子郵件、聊天信息����、文件或社交媒體向外部發(fā)送的敏感數(shù)據(jù)。這些傳輸?shù)男畔⒆孮radar可區(qū)分授權(quán)和未授權(quán)的操作以加快事件響應(yīng)��。
覆蓋網(wǎng)絡(luò)威脅的整個周期:惡意軟件偵測和分析
惡意軟件是普遍的
“基于附件的URL惡意軟件攻擊從2014年中開始到2015年增加了600%以上” - Proofpoint “電子郵件攻擊增加50%�����,都是通過宏方式感染” - Clearswift.com
沒有文件被忽視
QRadar網(wǎng)絡(luò)洞察知道每個文件的細(xì)節(jié)�;從文件的名稱、類型�����、信息熵��、嵌入式腳本和文件哈希����,可以確定它是從哪里來的���,被發(fā)送到哪里�。使用QRadar和X-Force Exchange威脅情報,想逃避偵測的惡意軟件都會清晰可見
識別危險內(nèi)部人員
暴露于內(nèi)部風(fēng)險
“55%的攻擊都是由惡意的內(nèi)部人員或無心的內(nèi)部人員操作的���。” - IBM 2015 Cyber Security Intelligence Index “內(nèi)部風(fēng)險不僅僅是對IT系統(tǒng)或數(shù)據(jù)損失的威脅�,它還可能導(dǎo)致人身傷害或破壞活動���。” - Carnegie Mellon SEI
識別有風(fēng)險的用戶活動并監(jiān)視負(fù)面情緒
發(fā)現(xiàn)未經(jīng)批準(zhǔn)的網(wǎng)頁瀏覽或搜索��,識別危險或可疑的域名訪問�����,跟蹤反常行為之后的活動����,解決因可疑內(nèi)容引發(fā)的別名和特權(quán)身份���,無縫對接QRadar用戶行為分析產(chǎn)品(UBA)
發(fā)現(xiàn)那里有什么
揭露使用情況
“50% 的組織機(jī)構(gòu)不清楚他們部署什么��,哪些正在被使用”
發(fā)現(xiàn)未知
自動發(fā)現(xiàn)資產(chǎn)�,設(shè)備,服務(wù)器���,服務(wù)����,應(yīng)用程序����,用戶,互聯(lián)網(wǎng)服務(wù)��,可以提高威脅偵測和安全合規(guī)的能力��。
利用附加內(nèi)容����,提高威脅偵測能力
提高精確度,減少工作量
“42% 的公司無法處理大量的告警” - ESG research
太多噪音
缺乏重要內(nèi)容��,結(jié)果就是安全團(tuán)隊困擾于誤報��。確定在網(wǎng)絡(luò)上有哪些資產(chǎn)��,設(shè)備,用戶和應(yīng)用程序����,并理解行為模式。當(dāng)Qradar分析事件數(shù)據(jù)時���,可以顯著提高基于異常警報的準(zhǔn)確性
零日攻擊威脅偵測
新零日威脅比例在上升
“Zero-Day Discoveries A Once-AWeek Habit” - Dark Reading
發(fā)現(xiàn)別人錯過的
傳統(tǒng)的檢測和預(yù)防手段可能會忽視新的零日攻擊�����,但QRadar網(wǎng)絡(luò)洞察( QRadar Network Insights )可以幫助確定癥狀以便及時檢測和修復(fù)。
處理社交媒體風(fēng)險
社交媒體正成為攻擊的有利工具
“每天有16萬個臉譜網(wǎng)網(wǎng)頁被黑客攻擊” - New York Post
社交媒體很重要但對業(yè)務(wù)有風(fēng)險
無論是攻擊者使用社交媒體來釣魚��,分發(fā)惡意軟件���,或獲得身份或密碼信息��,社交媒體的使用(無論是否批準(zhǔn))會對企業(yè)構(gòu)成威脅�����。個人使用社交媒體很容易跨越界限���,損害公司的聲譽�����、資產(chǎn)和客戶���。實時上下文內(nèi)容分析是檢測過度使用社交媒體的關(guān)鍵
