IBM QRadar Network Insights （QNI）：自动识别和分类新资产

IBM QRadar Network Insights （QNI）

 

下面几项有什么共同点?

99%的网络攻击以某种方式穿透网络。内部攻击收集本地系统数据- Enterprise Management Associates

 

将网络分析更进一步

QRadar事件取证和网络数据包捕获（QRadar Incident Forensics and Network Packet Capture）可以捕获，重建并回放整个会话

 

事件响应

事件侦察

QRadar 网络洞察（ QRadar Network Insights）也会让你发现，在会话中任何时候是否有可疑主题或你关注的主题

 

QFlow 提供网络流分析的所有优势，可以识别7层流中的应用程序，并可以捕获进程的包头。

 

“网络流量实质上是网络上两个主机之间的对话记录……这个信息很像电话账单：你不能说出谈话中所说的话，但你可以用它来证明谁和谁说话”。 – SANS Institute

 

QRadar网络流分析

连续分析资产：收集和监视网络通信，自动识别和分类新资产，并发现他们正在运行的服务和端口。识别影子IT和他们在部署的新设备。

 

成功的通信/传输：通过观察可见的下载/上传量，了解可疑通信是否真的发生。

 

异常检测：详细分析时间活动，以提供对新的或意外行为的可见性。

 

应用监测

 

未授权的流量:告警违反策略的行为和交通，例如，发送到不可信的地理区域或不安全协议

协议误用和滥用

 

可见性和合规

高级威胁检测：通过所有网络流量（应用程序、主机、协议、网络区域）的行为分析和异常检测来检测恶意软件和病毒/蠕虫活动

 

QRadar 网络洞察（QRadar Network Insights）

 

QRadar QNI – 完善整个场景

 

填补重要空白

那是什么?

• 谁和谁在通信?

• 什么文件和数据在交换 ?

• 像恶意活动吗 ?

• 是否包含重要或敏感数据?

• 是否使用了恶意应用?

• 这是我们网络中的新威胁吗 ?

• 如果是，它在哪里，它做了什么?

 

威胁检测全覆盖

为今天的网络安全挑战带来可见性

实时分析网络流量

进程重建和应用程序分析

提取关键元数据和内容

全数据包荷载和应用程序内容分析

内部可疑内容检测

 

覆盖网络威胁的整个周期：网络钓鱼

网络钓鱼

“95%的企业网络攻击都是成功的鱼叉式网络钓鱼的结果。” - SANS Institute

 

在用户有机会打开网络钓鱼邮件之前检测它们

检测和提取可疑的电子邮件的主题、内容及附件让Qradar可以在用户访问他们的收件箱之前检测到攻击。

 

又有人被钓鱼了……

快速确定谁被钓鱼，他们如何回应，是谁泄露信息。

 

主要用例:数据泄露

秘密被暴露

“50%的组织机构认为他们有定期机密数据泄露”- Enterprise Management Associates

 

我的专有数据被发送到哪里？！？

实时发现正在通过电子邮件、聊天信息、文件或社交媒体向外部发送的敏感数据。这些传输的信息让Qradar可区分授权和未授权的操作以加快事件响应。

 

覆盖网络威胁的整个周期：恶意软件侦测和分析

恶意软件是普遍的

“基于附件的URL恶意软件攻击从2014年中开始到2015年增加了600%以上” - Proofpoint “电子邮件攻击增加50%，都是通过宏方式感染” - Clearswift.com

 

没有文件被忽视

QRadar网络洞察知道每个文件的细节；从文件的名称、类型、信息熵、嵌入式脚本和文件哈希，可以确定它是从哪里来的，被发送到哪里。使用QRadar和X-Force Exchange威胁情报，想逃避侦测的恶意软件都会清晰可见

识别危险内部人员

暴露于内部风险

“55%的攻击都是由恶意的内部人员或无心的内部人员操作的。” - IBM 2015 Cyber Security Intelligence Index “内部风险不仅仅是对IT系统或数据损失的威胁，它还可能导致人身伤害或破坏活动。” - Carnegie Mellon SEI

 

识别有风险的用户活动并监视负面情绪

发现未经批准的网页浏览或搜索，识别危险或可疑的域名访问，跟踪反常行为之后的活动，解决因可疑内容引发的别名和特权身份，无缝对接QRadar用户行为分析产品（UBA）

发现那里有什么

 

揭露使用情况

“50% 的组织机构不清楚他们部署什么，哪些正在被使用”

发现未知

自动发现资产，设备，服务器，服务，应用程序，用户，互联网服务，可以提高威胁侦测和安全合规的能力。

 

利用附加内容，提高威胁侦测能力

提高精确度，减少工作量

“42% 的公司无法处理大量的告警” - ESG research

 

太多噪音

缺乏重要内容，结果就是安全团队困扰于误报。确定在网络上有哪些资产，设备，用户和应用程序，并理解行为模式。当Qradar分析事件数据时，可以显著提高基于异常警报的准确性

 

零日攻击威胁侦测

新零日威胁比例在上升

“Zero-Day Discoveries A Once-AWeek Habit” - Dark Reading

 

发现别人错过的

传统的检测和预防手段可能会忽视新的零日攻击，但QRadar网络洞察（ QRadar Network Insights ）可以帮助确定症状以便及时检测和修复。

处理社交媒体风险

社交媒体正成为攻击的有利工具

“每天有16万个脸谱网网页被黑客攻击” - New York Post

社交媒体很重要但对业务有风险

无论是攻击者使用社交媒体来钓鱼，分发恶意软件，或获得身份或密码信息，社交媒体的使用（无论是否批准）会对企业构成威胁。个人使用社交媒体很容易跨越界限，损害公司的声誉、资产和客户。实时上下文内容分析是检测过度使用社交媒体的关键