识别重要事件
IBM® QRadar® Security Information and Event Management (SIEM) 可帮助安全团队准确检测企业中的威胁并划分优先级,它提供了智能洞察,可帮助团队迅速做出反应,从而减少事件造成的影响。通过将分散在整个网络中数千个设备、终端和应用中的日志事件和网络流数据整合起来,QRadar 使所有这些不同的信息相互关联,并将相关事件汇总成单个警报,从而加快事件分析和补救速度。QRadar SIEM 可在内部部署,也可在云端部署。
- 全面可视性
获得对本地、SaaS 和 IaaS 环境中的日志、流程及事件的集中洞察。
- 消除手动任务
一站式集中查看与特定威胁相关的所有事件,从而消除手动跟踪流程,使分析人员能够集中精力完成调查和响应工作。
- 实时威胁检测
利用即取即用的分析技术,自动分析日志和网络流,进而检测威胁,并在攻击推进其杀伤链时生成优先级警报。
- 轻松管理合规工作
通过利用预先构建的报告和模板,帮助遵守内部组织政策和外部法规。
功能聚焦
从本地和云端采集海量数据
从本地和云端数据资源中挖掘洞察,将业务上下文应用于这些数据,尽可能地获取有关威胁和风险的深入见解。
应用内置的分析功能准确检测威胁
分析网络、终端、资产、用户、漏洞和威胁数据,准确检测其他方法可能漏掉的已知和未知威胁。内置的分析技术有助于加速实现价值,无需数据科学专家参与。
将相关活动关联起来,划分事件的优先级
以独特方式发现并跟踪整个攻击链中的相关活动,以使分析师可以通过单个界面一站式了解潜在事件的全部信息。
自动解析和规范日志
自动理解不同来源的数据,提供易于使用的编辑器,以便快速启用定制日志源以供分析。
威胁情报和对 STIX/TAXII 的支持
包括来自 IBM X-Force 的威胁情报,支持客户通过 STIX/TAXII 集成自己选择的其他威胁情报订阅源。
将即取即用功能与 450 个解决方案相集成
通过提供超过 450 个开箱即用的集成、API 和一个 SDK,形成生态系统,帮助客户加快采集数据,获得更深入的洞察,扩大现有解决方案的价值。
灵活的架构可在本地部署,也可在云端部署
提供多种部署选择,可满足各种需求。该解决方案能够以本地或 IaaS 环境中的硬件、软件或虚拟机形式来交付。从一体化解决方案开始,或纵向扩展到跨多个网段和地域高度分散的模式。
高度可扩展、自动调优并自动管理的数据库
让客户能够将精力集中在安全操作而非系统管理上,帮助降低总体拥有成本。自调优和自管理数据库可进行扩展,支持大规模的企业,而无需专门的数据库管理员。