主线
详情搜索PPT
IBM安全态势感知.pptx
关键字: IBM 态势感知
态势感知平台 > SOC(安全运营中心) > SIEM (安全信息和事件管理)
IBM Security 产品线
- Appscan (应用漏扫)
- Qradar
- Watson for Cyber Security
- Resilient Incident Response (事件响应平台)
- X-Force Exchange 威胁情报
- BigFix 终端安全(End point, 偏主机补丁修复)
- Network Protection XGS (IDS, 入侵检测系统)
- Qradar Incident Forensics (事件取证)
- Trusteer Pinpoint (间谍软件检测)
- Trusteer Mobile (移动端SDK)
- Trusteer Rapport (恶意软件, 钓鱼检测)
- Identity Governance and Access (身份治理与访问)
- Privileged Identity Manager (特权身份管理)
- Cloud Identity Service (云身份服务)
- zSecure (大型机安全)
- Cloud Security (云安全)
- Enforcer (云安全代理)
- Guardium (数据库审计、弱点评估)
- Key Manager (密钥管理)
- i2 QRadar Offense (可视化平台,类似 Maltego)
- App Exchange (应用商店, 第三方设备整合)
主要基础部件
a. QRadar (态势感知核心系统)
b. Watson for Cyber Security
c. Resilient Incident Response (Resilient事件应急响应系统)
QRadar 整合 服务器主机日志、网络流量日志、防火墙日志等,进行关联规则分析。
机器学习(无监督学习)主要应用在UEBA(用户行为审计系统),自学习(按部门划分的)用户行为基线。
场景案例
细节看ppt
- 高级威胁检测 定期心跳外连CC域名
- 内部威胁关联规则分析告警
- 调查取证流量还原
设备(包括第三方)双向协同
细节看ppt
案例1
Qradar 与 XGS(IDS) 双向联动
XGS上报日志到Qradar,
Qradar可以下发IP阻断规则到XGS
案例2
Qradar 与 Guardium(数据库审计系统) 双向联动
Qradar 整合 Guardium 弱点评估信息
Guardium 实时 上报告警到 Qradar
Qradar 自动更新 Guardium 保护策略。
案例3
Qradar 评估 BigFix 中不同主机存在相同漏洞(MS17-010)时的修复优先级(主机修复顺序)
案例4
Qradar 导出数据供安全分析师利用可视化工具 (IBM i2 QRadar Offense) 辅助调查事件。
第三方整合
ppt中包含部分国外安全乙方厂商。
本土化
明朝万达-沙箱App
微步在线-威胁情报
天际友盟-威胁情报
提及的国外知名信息安全公司
主要讨论企业市场方向
偏咨询类安全公司
EY(安永)
Deloitte(德勤)
IT巨头(安全只是其中一条产品线)
IBM
纯信安
Palo Alto Networks (PAN, 平底锅)
Trend Micro (趋势科技)
Carbon Black
Checkpoint
Kaspersky
Fortinet
McAfee
FireEye
Rapid7
