IBM QRadar SIEM “cloud-native” sur Red Hat OpenShift
Ton SIEM n’est pas dépassé, c’est juste que les menaces et la cybersécurité progressent très vite.
Les environnements cloud hybrides d’aujourd’hui évoluent et s’adaptent aux menaces auxquelles ils sont confrontés. Créer une surface d’attaque plus grande et plus complexe à protéger. Il devient de plus en plus difficile pour les services informatiques de faire la différence entre les vraies menaces et les faux positifs. Nous ne voulons pas que le célèbre conte de Pierre et le loup se produise. Et que, le jour où quelque chose se produit, même si nous le détectons, il soit ignoré en raison de la saturation de nos analystes et du personnel de SOC en général.
Depuis des années, la détection précoce des menaces est progressivement ralentie par des technologies cloisonnées, des recherches manuelles et une surcharge d’alertes qui n’ont pas de contexte suffisant ou de visualisation claire. Il est difficile de se défendre contre ce que l’on ne comprend ni ne voit. Les humains sont humains, et nos analystes aussi. Les données montrent que moins de la moitié (41 %) des alertes qui passent les “filtres SIEM” sont examinées en détail dans les centres opérationnels de sécurité (SOC). Cela s’applique même aux SOC de nos clients qui utilisent QRadar, car leur configuration correcte et leur ajustement permanent nécessitent des ressources humaines et du temps qui ne sont pas disponibles.
C’est pourquoi IBM travaille depuis des années sur un nouveau IBM Security® QRadar® SIEM cloud-native, qui utilise plusieurs couches d’IA et d’automatisation pour améliorer radicalement et considérablement la qualité des alertes et la productivité des analystes de sécurité dans leur travail quotidien. Grâce à des modèles d’IA sophistiqués pré-entraînés sur des dizaines de millions d’alertes provenant des milliers de clients d’IBM dans le monde, le nouveau SIEM QRadar fournit le contexte et la hiérarchisation des menaces nécessaires aujourd’hui. Quelque chose que, franchement, nous n’atteignions pas malgré le fait que nous disposions (du point de vue de SIXE) des meilleurs SIEM et SOAR du marché.
Avantages pour ton SOC (et ta sécurité)
Hiérarchisation des alertes en fonction des risques REELS
IBM QRadar SIEM, cloud-native, utilise des algorithmes intelligents pour appliquer plusieurs couches de notation des risques à chaque observable au sein d’un cas. Les analystes de sécurité ne sont alertés que des cas les plus importants, ils savent donc exactement où concentrer leur temps et leur énergie.
Recherche fédérée pour une détection proactive des menaces
La recherche fédérée te donne la possibilité de choisir entre l’ingestion de données critiques dans ton SIEM et la recherche de données là où elles résident. Nous pouvons continuer à travailler avec tes bases de données existantes, y compris celles d’autres fabricants, en enrichissant et en améliorant les informations disponibles sur QRadar.
Les normes ouvertes sont les bienvenues. Prise en charge des règles de Sigma
Grâce à la prise en charge native des règles Sigma open source, QRadar SIEM native-cloud crée un langage commun et partagé pour les analystes de la sécurité afin de surmonter le défi que représente l’écriture de règles sur des plateformes SIEM propriétaires. Les analystes de sécurité peuvent désormais importer rapidement de nouvelles instructions validées et crowdsourcées directement depuis la communauté de la sécurité, au fur et à mesure que les menaces évoluent.
Recherche automatisée avec des réponses recommandées… par défaut !
QRadar SIEM (cloud-native) utilise l’enrichissement et le complément automatisés des données sur les menaces, l’évaluation des risques, la cartographie des activités de sécurité et l’analyse de la source des incidents de sécurité. Grâce à l’automatisation préconfigurée, nous disposons d’informations sommaires et de recommandations en un seul endroit, que les analystes peuvent mettre en œuvre ou prendre comme recommandation pour une analyse plus approfondie.
Adios Ariel (SQL). Bonjour Kusto (KQL)
Alors que les langages dérivés de SQL sont conçus pour traiter des données structurées dans des bases de données relationnelles, les langages dérivés de SQL sont conçus pour traiter des données structurées dans des bases de données relationnelles. KQL est conçu pour interroger de grands volumes de données structurées et semi-structurées, y compris des journaux et des données télémétriques, dans des scénarios d’analyse en temps réel. Avec KQL, tu peux programmer la surveillance de QRadar quasiment en temps réel pour avoir automatiquement les informations les plus récentes disponibles et utilisables.
Les menaces extérieures sont sous contrôle.
QRadar se connecte à X-Force® Threat Intelligence pour un accès en temps réel à la plus grande base de données de menaces externes au monde. Y compris les acteurs malveillants, les vulnérabilités, les virus ou les attaques de rasomware. Oublie les heures passées à lire ou à faire des recherches par toi-même. Tout fonctionne par défaut et sans clic.
De XDR et SOAR à QRadar natif dans le nuage, nous t’accompagnons tout au long du voyage.
Quelle que soit l’ampleur du projet et la taille de votre organisation, nous pouvons vous aider. De la conception et de la mise en œuvre d’un premier SOC pour votre organisation aux intégrations complexes avec des outils qui automatisent les processus de détection et de suppression des menaces sur la base des technologies SOAR (IBM SOAR / Resilient) et d’apprentissage automatique. Et maintenant aussi pour mettre en place une infrastructure SOC native dans le nuage qui soit entièrement intégrée à toutes les technologies précédentes (et futures).
Très facile à intégrer à d’autres produits et solutions
Nous comptons parmi nos clients des entreprises industrielles, pharmaceutiques, des banques et des compagnies d’assurance. Mais aussi les administrations publiques et les PME. Nous nous adaptons aux besoins spécifiques de chaque organisation en matière de cybersécurité OT et OT, en proposant et en intégrant différentes solutions dans QRadar SIEM / XDR de fabricants tels que Tenable, Nozomi Networks, Qualsys ou Rapid7. Nous avons plus de 700 pré-intégrations de QRadar avec des produits d’autres fabricants leaders dans leurs secteurs respectifs et totalement complémentaires et nécessaires.
Intégration automatique avec IBM (QRadar) SOAR
La sécurité repose sur les personnes, les processus et les technologies. Avec QRadar SOAR, tu disposes de centaines d’intégrations et d’outils informatiques et DevOps. Automatise via des playbooks (par exemple de Red Hat Ansible) les tâches répétitives de ton service informatique liées à la cybersécurité en cas d’alerte de ton SIEM. Qu’il s’agisse d’appliquer des correctifs, de modifier des configurations ou même de déconnecter et d’éteindre un système qui représente un danger pour ton réseau. L’installation et le déploiement des applications sur IBM SOAR ne prennent que quelques minutes et se font entièrement via le web.
Des services adaptés aux besoins de nos clients
Chez SIXE, nous vendons, déployons, migrons et maintenons des installations à jour de QRadar XDR et maintenant aussi de cloud-native. Nos services incluent le support technique à travers différentes options : contrats mensuels, contrats horaires ainsi que des projets clés en main. Nous collaborons à la fois avec des clients finaux et des entreprises offrant des services gérés qui peuvent bénéficier de notre expérience et de notre savoir-faire.
Avez-vous besoin d’une formation ? Découvrez nos cours en
architecture
,
administration
,
analyste en cybersécurité,
QVM et préparation de certifications certifications. L’ensemble de notre offre de formation est entièrement adaptable aux besoins de chacun de nos clients.
Si tu pars de zéro, nous pouvons t’aider à mettre en place ton SOC (Security Operations Centre).
Il faut plusieurs années et beaucoup de talent pour mettre en place un SoC et le faire fonctionner. Nous vous accompagnons tout au long du processus, de la formation des équipes au démarrage du service auquel nous pouvons continuer à fournir un support technique L3 aussi longtemps que nécessaire.