EDR 端點防護
保護端點免受網絡攻擊、檢測異常行為並近乎即時地進行補救
IBM Security ReaQta是一個易於使用的端點偵測與回應 (EDR) 解決方案,可以幫助企業保護端點免受威脅。這個解決方案具備卓越的自動化能力,利用人工智慧 (AI) 和機器學習技術,以即時檢測行為異常和補救威脅。
同時 ReaQta 採用 Nano OS (Live-Hypervisor based monitoring) 技術,能夠抵禦與降低外部威脅及攻擊者篡改與關閉端點偵測警報的可能性。
ReaQta 平台提供可在端點自訂偵測規則來設置偵測用例,透過 AI 技術,從日常決策過程中進行學習,減少資安分析人員,因警報導致的疲勞及誤報事件,而有效提升 EDR/MDR 操作者與維運角色的資安偵測與回應效率與能量。
-
執行前預防
在完全執行之前檢查文件源代,如果檢測到惡意代碼則停止文件運行。
-
Nano操作系統(NanoOS)和雙AI引擎
即使端點處於離線狀態,也允許某些檢測和自主操作功能。
-
攻擊可見性
檢測並關聯警報信息,包括攻擊的根本原因、風險評估和MITRE ATT&CK框架。
-
威脅狩獵
支持實時,整個基礎設施搜索協議指標(IOC); 二進製文件和行為。自動數據挖掘有助於發現潛在威脅。
-
取證
支持遠程收集調查取證信息,幫助支持攻擊者活動的取證分析和重建。
-
威脅洞察
通過基於元數據的分析幫助分析師識別潛在威脅以及加快分類。啟用警報工作的檢測和靜態分析,以在新二進制文件激活後立即發現他們。
-
反勒索軟件
分析文件行為以檢測即將發生的攻擊,並可以阻止惡意進程的執行。
-
簽名掃描
使用啟發式和基於簽名的預防。
-
自定義腳本
自動化功能支持創建定制的檢測、響應和修復腳本。
-
API訪問
提供對ReaQta引擎的直接API訪問,這對於自動化工作流程和與外部平台集成非常有用。
-
網絡助理
啟用AI驅動的警報管理系統,自動處理警報。它可以只看到一次給定警報後立即了解分析師的決定。
-
行為偵測
使用近乎實時的,基於行為的異常檢測和響應功能來幫助保護組織免受高級惡意軟件攻擊和威脅。
ReaQta 運作特點
-
01
持續端點資料收集
透過在每個端點設備中安裝輕量級的資料收集工具或代理程式,能夠持續從每個端點設備中收集資料。
-
02
及時威脅偵測與分析
EDR解決方案利用進階關聯分析與機器學習演算法,能即時偵測已知威脅或可疑活動。EDR 會持續尋找潛在或已知的網路威脅或網路犯罪相關的行為或事件,透過 EDR 核心分析引擎進行威脅偵測與調查,建立即時資料後與歷史資料建立的基線進行比較,以識別可疑、異常的最終用戶活動以及任何可能與網路安全事件或威脅相關的事件。
-
03
威脅響應與自動化機制
EDR解決方案必須能夠基於安全團隊所設置的預定義規則,或透過機器學習演算法隨時間自我學習,並能提供人工、半自動或自動化的威脅回應處置與相應的威脅回應機制。其中所謂的自動化回應是特別將事件處置當中的「回應」,透過自動化機制融入至EDR 解決方案當中,讓資安團隊能在事件處置中利用自動或半自動化機制進行事件處置。
-
04
威脅隔離和補救
一旦威脅事件被隔離,EDR 解決方案可以提供安全分析師進一步調查威脅事件內容。例如,鑑識分析 (Forensic Analysis) 可幫助安全分析師調查威脅的根本原因,識別它所影響的各種檔案,以及攻擊者利用一個或多個進入網路並橫向移動的漏洞資訊,有了完整的調查資訊,分析師就可以利用補救工具來消除威脅並完成修復。
-
05
支援威脅搜尋
「威脅搜尋」(也被稱為「網路威脅獵捕」Threat Hunting)是一項主動的安全作為,由資安分析師在網路中搜尋未知的威脅,或已知威脅中尚未被組織的自動化網路安全工具偵測或修復的部分。