美国30强银行第二阶段IBM Security QRadar SIEM实施

美国30强银行第二阶段IBM Security QRadar SIEM实施

行业
金融服务
技术领域
SIEM信息安全

顾客

客户是一家总资产超过1000亿美元的美国银行,为个人和企业提供银行和金融服务。 150多年来,该银行在美国多个州建立了广泛的分支机构和ATM网络。

挑战

阶段1,ScienceSoft的顾问对客户如何部署现成的IBM®Security QRadar SIEM进行了初步检查,进行了犯罪调查和性能检查,并开始开发基本的关联规则。第1阶段启动了QRadar配置,但不打算进行深度定制。

尽管如此,仍有一些日志源未连接到QRadar或生成了无法处理的事件。因此,客户的安全专家没有对其安全系统的全面概述。为了解决这个问题,要求进一步进行QRadar SIEM调整,以便它可以监视事件。因此,客户选择了ScienceSoft进行QRadar微调,以使其与银行的IT网络保持一致。

ScienceSoft的团队采取了以下步骤,以进一步将QRadar调整为客户的网络环境:

计划与QRadar的日志源连接

首先,ScienceSoft的团队就如何制定日志源(设备,系统,服务)的路线图向客户咨询,这是将日志源连接到QRadar的策略。其中包括日志源分类和标识,从而进一步分析源与QRadar的连接程度以及它们是否可以向其报告事件。此外,团队还提出了可以在QRadar中进行的调整,包括选择要连接的日志源。

开发日志源增强功能和扩展

在日志来源路线图的帮助下,ScienceSoft的团队获得了对已正确连接到QRadar以及未正确连接到QRadar的平台的全面概述。因此,对于QRadar不支持的平台,该团队创建了7个日志源扩展(uDSM / LSX)。扩展确保这些平台现在可以连接到QRadar并发送它可以处理的事件。换句话说,消除了“未知”和“存储”事件,并为QRadar提供了高质量,可操作的数据。

对于已正确连接到QRadar但仍发送QRadar无法处理的事件的平台,创建了5个日志源增强功能(uDSM / LSE)。之后,QRadar可以阅读这些事件。

创建关联规则

创建所需的增强功能和扩展名之后,ScienceSoft的团队继续进行QRadar SIEM调整,并开发了60条关联规则。这样的规则可以基于自定义搜索条件集进行事件分析。这些规则提供了对犯罪的更全面检测,因为其中包括了附加的搜索条件。此外,ScienceSoft为客户开发的关联规则可以检测在任何域中可能发生的常见攻击类型,以及专门针对银行业的攻击。

客户SIEM团队的培训

第二阶段的最后一步是为客户的SIEM团队提供培训计划。在培训期间,我们的顾问概述了QRadar第2阶段微调过程中所做的工作。此外,他们还培训了客户团队在进行调整后如何支持QRadar,并就如何在没有外部帮助的情况下进行微调提供了咨询。

结果

ScienceSoft的顾问通过QRadar SIEM调整帮助客户,该调整为客户的安全专家提供了银行安全系统的适当概述。因此,现在以前不受支持的日志源可以将事件发送到QRadar进行进一步处理。同样,QRadar可以转换以前未处理的事件。在修正了这些异常之后,团队根据客户的IT网络要求制定了相关规则,以确保更好地检测犯罪。 ScienceSoft的团队对银行的安全团队进行了培训,以提高他们对QRadar功能和从QRadar分析接收的数据的理解。

第2阶段提高了数据质量,并能够检测到以前被放弃或被认为是假阳性的攻击。 ScienceSoft的顾问和客户共同制定了第三阶段QRadar微调计划。

技术与工具

IBM Security QRadar SIEM,AQL,正则表达式,Python,Linux Shell脚本,Linux网络工具。

致电给我们,我们的代表将在30分钟内与您联系以安排初步讨论。