Az IBM QRadar végre összeállt a Criminal IP-vel

Fenyegetettség valós időben a tűzfalon keresztül

Kezdetben a QRadar SIEM és a Criminal IP összekapcsolása lehetővé teszi, hogy a tűzfalon áthaladó forgalom minden részletét automatikusan értékeljék. A továbbított forgalmi adatokat a Criminal IP API vizsgálja meg, az eredményeket pedig közvetlenül a SIEM kezelőfelületén jeleníti meg. Az észlelt IP-címeket fenyegetettségi szint alapján sorolják be alacsony, közepes vagy magas rizikójúként. Ennek eredményeként a SOC-csapatok rögtön felismerhetik a veszélyes IP-ket, figyelemmel kísérhetik a bejövő és kimenő adatfolyamokat, valamint gyors intézkedéseket vezethetnek be, például a hozzáférés tiltásával vagy az incidensek eszkalációjával.

Minden információ egy helyen marad

A QRadar és a Criminal IP integrációja lehetővé teszi, hogy az elemzők egyetlen kattintással részletes jelentést nyissanak meg egy adott IP-címről. Ezek a jelentések megmutatják a fenyegetettséghez kapcsolódó indikátorokat, előzményeket és kitettségi adatokat is. Így az elemzők anélkül tudnak komplex döntéseket hozni és validálni a kockázatokat, hogy el kellene hagyniuk a megszokott QRadar környezetet.

Automatizált válaszok SOAR-ban

A Criminal IP a QRadar SOAR-ral is együttműködik, hogy automatizált információgazdagítást biztosítson az incidensek feldolgozása során. Előre elkészített műveletsorok (playbookok) gondoskodnak arról, hogy az IP-címekhez és URL-ekhez tartozó összes lényeges információ a megfelelő helyen, akár artefaktként vagy incidensjegyzetként, azonnal megjelenjen. Két fő playbook áll rendelkezésre: az egyik az IP-címeket, a másik az URL-eket vizsgálja, és az eredményeket gyorsjelzés formájában szolgáltatja. Mindezzel a szakértőknek kevesebb manuális keresést kell végezniük, és hatékonyabban intézkedhetnek.

Gyorsabb és okosabb döntések a SOC-ban

Az IBM QRadarban és a SOAR-ban való integráció révén a vállalatok összeköthetik a QRadar esemény- és incidenskezelési képességeit a világhálóról származó valós információforrásokkal. Ennek eredményeként pontosabb észlelések, rövidebb kivizsgálási folyamatok és hatékonyabb válaszmechanizmusok valósulnak meg. Ahogy a figyelmeztetések mennyisége nő, a Criminal IP nem bonyolítja az üzemeltetést, mégis megbízható adatokat juttat el a QRadar rendszerekbe, így a biztonsági csapatok hamarabb hozhatnak jobb döntéseket.

A Criminal IP globális jelenléte

A Criminal IP az AI SPERA kulcsplatformja, amelyet jelenleg több mint 150 országban használnak. Az MI- és OSINT-alapú szolgáltatás nemcsak pontozza és értékeli a fenyegetéseket, hanem valós időben detektálja a legkülönfélébb káros aktivitásokat – az irányító szerverektől kezdve az anonimizált IP-kig, VPN-ekig és proxykig. API-központú felépítésének hála zökkenőmentesen csatlakozik bármilyen biztonsági munkafolyamathoz, javítva az átláthatóságot, az automatizálást és a reakcióidőt.

2025, adminboss, www.bleepingcomputer.com alapján