IBM美国前30大银行的安全性QRadar SIEM实施

IBM美国前30大银行的安全性QRadar SIEM实施

行业
金融服务
技术领域
SIEM,信息安全

顾客

客户是一家总资产超过1000亿美元的美国银行。该客户为超过300万的消费者,企业和政府客户提供银行,保险,投资,抵押和商业金融服务。银行用完了 全美国有500家分支机构和1500多个ATM。

挑战

客户使用的是现成的 IBM Security QRadar SIEM (QRadar)。开箱即用的关联规则和构建块,以及默认的QRadar配置设置必须适应客户的网络基础架构和安全监控要求。要求ScienceSoft根据客户的网络拓扑,数据通信流和法规遵从性进行QRadar微调。

ScienceSoft的专家在以下阶段对QRadar进行了微调:

初始部署检查

在此阶段,我们的SIEM团队验证了QRadar的初始部署是否正确执行,检查了系统备份的时间表,检查并更正了网络层次结构定义,并帮助客户创建了用户角色(安全管理员,安全分析师等)。 。

ScienceSoft提供了WinCollect部署软件包,该软件包支持自动检测所有可用的Windows日志以及日志源增强(LSE),以确保收集和处理QRadar不支持的Windows日志和Linux通用事件。 -框。

ScienceSoft的团队还帮助客户定义了在QRadar中注册日志源的方法,开始创建日志源组并将相应的日志源分配给这些组,以便客户的安全团队无需协助即可完成任务。

服务器发现

ScienceSoft的专家设置了服务器发现功能,演示了如何执行该功能以及如何批准被识别为某些服务器类型的资产。我们的团队成功验证了导入QRadar Assets数据库的配置,时间表和结果。

犯罪调查

ScienceSoft的团队就QRadar中的攻击目的和逻辑指导客户。我们的团队通过深入研究犯罪的根本原因并发现其可能的前提条件,展示了应如何调查QRadar犯罪。之后,SIEM专家演示了如何编写关联规则以创建具有特定名称的犯罪(以及命名约定),以及如何将必需的信息包括到犯罪中。

对5种以上的严重违法行为进行了详细调查,包括对相关规则的微调。这样一来,客户可以关闭近200项先前被认定为假阳性的相关违法行为,并将违法行为清单从7页减少到3页。

消除假阳性

我们的专家根据QRadar的5个真实示例展示了各种假阳性消除技术。 5项违法行为中的每一项都被分解为构成违法行为的规则。分析了每个规则,并更新了规则的逻辑,以反映客户在实际事件上下文中的当前安全策略,拓扑结构,命名约定,以排除误报。

相关规则的微调和优化

我们的SIEM团队演示了如何通过添加/删除规则条件来微调关联规则。使用进攻分析微调了七个规则。此外,我们的专家展示了如何通过高级过滤技术以及添加或删除其他搜索条件来优化关联规则,这些条件直接影响QRadar的性能。

事件严重性更新

ScienceSoft演示了更新关键资产事件严重性的技术。随着严重性在相应的违法行为规则内增加,针对关键资产的违法行为现在具有更高的级别。

自定义属性优化

指导客户创建和提取要在搜索,规则和报告中使用的自定义属性。 ScienceSoft的SIEM顾问通过从不同的平台事件中提取各种值来创建了4个自定义属性,并解释了命名惯例在创建自定义属性中的重要性。

搜索和报告性能改善

我们的团队演示了如何通过高级过滤技术来优化搜索和报告,该技术可以使安全管理员提高QRadar的性能。这样,使用高级过滤技术和索引的“自定义属性”创建了5个搜索。

性能检查

在项目结束时,ScienceSoft安装了ScienceSoft的专有工具QLean,可提供37个性能和行为指标以及25个以上的健康标记,用于快速评估解决方案的功能,以监视QRadar并生成有关其可操作性和性能的报告。

结果

ScienceSoft通过根据客户的需求对IBM Security QRadar SIEM进行微调来成功完成了任务。经过微调后,该系统现在可以完全适应客户的网络,并且能够在没有适当的自定义设置的情况下检测以前被忽略或标识为假阳性的违法行为。

客户的安全团队还对解决方案的功能和进行微调的有效方式进行了全面的培训,因此现在客户的安全管理员无需任何帮助即可支持该解决方案。

技术与工具

IBM Security QRadar SIEM,Python,Regex,Linux Shell。

致电给我们,我们的代表将在30分钟内与您联系以安排初步讨论。