Criminal IP แพลตฟอร์มข่าวกรองภัยคุกคามที่ขับเคลื่อนด้วย AI ได้ผนวกรวมเข้ากับ IBM QRadar SIEM และ QRadar SOAR การผสานรวมนี้จะนำข้อมูลภัยคุกคามภายนอกที่อิงตาม IP เข้าสู่เวิร์กโฟลว์การตรวจจับ การสอบสวน และการตอบสนองของ IBM QRadar โดยตรง ทำให้ทีมรักษาความปลอดภัยสามารถระบุกิจกรรมที่เป็นอันตรายได้รวดเร็วยิ่งขึ้น จัดลำดับความสำคัญของการตอบสนอง และปรับปรุงกระบวนการสืบสวนให้มีประสิทธิภาพมากขึ้นผ่านการให้บริบทภัยคุกคามภายนอกแบบทันที
Severity: ข้อมูลทั่วไป
System Impact:
- IBM QRadar SIEM (Security Information and Event Management)
- IBM QRadar SOAR (Security Orchestration, Automation, and Response)
- Criminal IP (AI-powered threat intelligence platform)
- Firewall traffic logs
Technical Attack Steps:
Recommendations:
Short Term:
- ใช้การผสานรวม Criminal IP QRadar SIEM เพื่อวิเคราะห์บันทึกการรับส่งข้อมูลของไฟร์วอลล์และประเมินความเสี่ยงที่เกี่ยวข้องกับที่อยู่ IP ที่สื่อสารโดยอัตโนมัติ
- ใช้รายงาน Criminal IP แบบละเอียดโดยตรงภายใน QRadar Log Activity เพื่อสอบสวน IP ที่น่าสงสัยได้อย่างรวดเร็วและได้รับบริบทภัยคุกคามเพิ่มเติม
- ปรับใช้ playbook ‘Criminal IP: IP Threat Service’ ใน QRadar SOAR เพื่อเพิ่มบริบทภัยคุกคาม IP โดยอัตโนมัติในการตอบสนองเหตุการณ์
- ปรับใช้ playbook ‘Criminal IP: URL Threat Service’ ใน QRadar SOAR เพื่อดำเนินการสแกน URL แบบเบาหรือแบบเต็ม และรับผลลัพธ์เป็น Artifact Hits หรือ Incident Notes
Long Term:
- บูรณาการข้อมูลภัยคุกคามแบบเรียลไทม์ที่อิงตามการเปิดเผย (exposure-based intelligence) เข้ากับการปฏิบัติการของ SOC เพื่อปรับปรุงความแม่นยำในการตรวจจับ ลดวงจรการสืบสวน และเพิ่มประสิทธิภาพการจัดลำดับความสำคัญของการตอบสนอง
- ใช้ประโยชน์จากข่าวกรองภัยคุกคามที่ขับเคลื่อนด้วย AI และ OSINT (Open-Source Intelligence) เพื่อระบุ วิเคราะห์ และตอบสนองต่อภัยคุกคามที่เกิดขึ้นใหม่ได้อย่างเชิงรุก
- ใช้ประโยชน์จากการให้คะแนนภัยคุกคาม ข้อมูลชื่อเสียง และการตรวจจับตัวบ่งชี้ที่เป็นอันตรายแบบเรียลไทม์ เช่น C2 servers, IOCs, VPNs, proxies และ anonymous VPNs ครอบคลุมทั้ง IP, โดเมน และ URL
Share this content: