識別重要事件
IBM? QRadar? Security Information and Event Management (SIEM) 可幫助安全團隊準確檢測企業(yè)中的威脅并劃分優(yōu)先級,它提供了智能洞察,可幫助團隊迅速做出反應,從而減少事件造成的影響。通過(guò)將分散在整個(gè)網(wǎng)絡(luò )中數千個(gè)設備、終端和應用中的日志事件和網(wǎng)絡(luò )流數據整合起來(lái),QRadar 使所有這些不同的信息相互關(guān)聯(lián),并將相關(guān)事件匯總成單個(gè)警報,從而加快事件分析和補救速度。QRadar SIEM 可在內部部署,也可在云端部署。
- 全面可視性
獲得對本地、SaaS 和 IaaS 環(huán)境中的日志、流程及事件的集中洞察。
- 消除手動(dòng)任務(wù)
一站式集中查看與特定威脅相關(guān)的所有事件,從而消除手動(dòng)跟蹤流程,使分析人員能夠集中精力完成調查和響應工作。
- 實(shí)時(shí)威脅檢測
利用即取即用的分析技術(shù),自動(dòng)分析日志和網(wǎng)絡(luò )流,進(jìn)而檢測威脅,并在攻擊推進(jìn)其殺傷鏈時(shí)生成優(yōu)先級警報。
- 輕松管理合規工作
通過(guò)利用預先構建的報告和模板,幫助遵守內部組織政策和外部法規。
功能聚焦
從本地和云端采集海量數據
從本地和云端數據資源中挖掘洞察,將業(yè)務(wù)上下文應用于這些數據,盡可能地獲取有關(guān)威脅和風(fēng)險的深入見(jiàn)解。
應用內置的分析功能準確檢測威脅
分析網(wǎng)絡(luò )、終端、資產(chǎn)、用戶(hù)、漏洞和威脅數據,準確檢測其他方法可能漏掉的已知和未知威脅。內置的分析技術(shù)有助于加速實(shí)現價(jià)值,無(wú)需數據科學(xué)專(zhuān)家參與。
將相關(guān)活動(dòng)關(guān)聯(lián)起來(lái),劃分事件的優(yōu)先級
以獨特方式發(fā)現并跟蹤整個(gè)攻擊鏈中的相關(guān)活動(dòng),以使分析師可以通過(guò)單個(gè)界面一站式了解潛在事件的全部信息。
自動(dòng)解析和規范日志
自動(dòng)理解不同來(lái)源的數據,提供易于使用的編輯器,以便快速啟用定制日志源以供分析。
威脅情報和對 STIX/TAXII 的支持
包括來(lái)自 IBM X-Force 的威脅情報,支持客戶(hù)通過(guò) STIX/TAXII 集成自己選擇的其他威脅情報訂閱源。
將即取即用功能與 450 個(gè)解決方案相集成
通過(guò)提供超過(guò) 450 個(gè)開(kāi)箱即用的集成、API 和一個(gè) SDK,形成生態(tài)系統,幫助客戶(hù)加快采集數據,獲得更深入的洞察,擴大現有解決方案的價(jià)值。
靈活的架構可在本地部署,也可在云端部署
提供多種部署選擇,可滿(mǎn)足各種需求。該解決方案能夠以本地或 IaaS 環(huán)境中的硬件、軟件或虛擬機形式來(lái)交付。從一體化解決方案開(kāi)始,或縱向擴展到跨多個(gè)網(wǎng)段和地域高度分散的模式。
高度可擴展、自動(dòng)調優(yōu)并自動(dòng)管理的數據庫
讓客戶(hù)能夠將精力集中在安全操作而非系統管理上,幫助降低總體擁有成本。自調優(yōu)和自管理數據庫可進(jìn)行擴展,支持大規模的企業(yè),而無(wú)需專(zhuān)門(mén)的數據庫管理員。