関連性も一気にグラフ化が可能
「QRadar Advisor with Watson」は1つのインシデントから隠された周辺脅威を、一瞬で明らかにします。
作業は数回クリックするのみです。
続きの作業は全て、QRadar Advisor with Watsonが行います。
個人の能力に依存しない作業が実現するため、アナリストの知見や洞察の幅が広がります。
セキュリティー事故が発生した場合、QRadar Advisor with Watsonは過去の通信ログとWatsonコーパスを参照し、関係性のありそうな知見を分析します。
そして、関係性をグラフ化することが可能です。
どの外部サイトによって、どのPCが攻撃の発生源となったのかを、一目で確認することができます。
正確でアクション可能な分析が実現
「QRadar Advisor with Watson」は、ログを一元的に管理します。
そのため、インベントリを拡大させることが可能です。
攻撃の信頼性、重大性、関連性を高めることにより、
正確でアクション可能な分析が実現します。
以下のような活用例があります
ログを監視することは、以下のように活用が可能です。
1)情報漏えい
通常業務の中で発生するはずの無い時間帯や頻度などを検出することで、疑わしい通信を検知します。
使用するログはWebProxy、FW、Windows Event Log、Windows Sysmonなどです。
2)WannaCryの感染検知
内部の同一端末から同一セグメント内への445ポート宛ての大量の通信や、
内部の同一端末から外部のランダムなGlobal IPへの445ポート宛の大量の通信の発生を検知することにより見つけ出します。
使用するログはFW、NetworkSecurityなどです。
3)システム内へのマルウェアのインストール検知
マルウェア感染時には「タスクスケジューラへの登録」や「自動起動に関係するレジストリへの登録」、
「自動起動のサービス登録」など典型的な挙動があります。
Windowsのイベントログから疑わしい挙動を検知することでマルウェアのインストールを検知します。
そのほかファイルレスマルウェアや不正アクセスの痕跡削除なども、ログを監視することにより検知が可能です。
