对于网络防御者来说,假阳性是一个常见的挑战,经常导致警惕疲劳。警觉疲劳的后果,根据一项由云安全联盟,31.9%许多IT安全专业人员忽视警报。这一问题因缺乏分诊、调查和缓解所需的资源而进一步加剧。不过,情况有所缓解。安全信息管理(SIM)和安全事件管理(SEM)演变为新时代的分析和以行为为中心的安全信息和事件管理(SIEM)平台成功地自动化了收集、分析和显示网络中的关键事件的任务。
我们的客户依赖于DomainTools域和DNS智能来筛选和分析SIEM平台内的事件。有了识别和分类这些事件所需的上下文,我们的客户就会自然而然地实现事件检测和事件处理流程的自动化。
好的SIEM解决方案乐动体育网址,如QRadar,可以帮助csirt和soc快速识别其环境中的恶意事件,并通过智能设置适当的分类流程。QRadar的DomainTools App允许团队自动化使用领域智能。在准备好部署集成之后,DomainTools和IBM QRadar客户可以在他们的SIEM解决方案中启用全面的威胁情报和威胁搜索。
利用这个应用程序,组织可以:
- 利用威胁搜索仪表板的风险指标,以突出恶意活动
- 批量丰富域,用于日志搜索、违规创建或自定义AQL规则
- 在滥用之前主动监控潜在的恶意域名
DomainTools威胁搜索仪表盘
所有从DomainTools浮出的情报,包括共享的基础设施和历史身份,保持在相同的调查背景下,并支持跨团队协作
考虑到缩放,DomainTools App是用最新的虹膜丰富api构建的,这已被证明可以处理大规模的事件丰富。为了提高性能效率,DomainTools启用了跨可配置时间框架的批量查询。最后,由于每个环境都是不同的,因此这个集成包括初始应用程序部署阶段的配置,这些配置允许应用程序在您的环境中动态地发现日志,以便事件发现。