AI 驅動的威脅情報平台 Criminal IP 宣布與 IBM QRadar SIEM 及 QRadar SOAR 完成整合。此整合將外部 IP 威脅情報直接嵌入 IBM QRadar 的偵測、調查與回應流程,協助資安團隊更快識別惡意活動並有效排定回應優先順序。
IBM QRadar 是企業與公部門組織廣泛採用的資安監控、自動化與事件回應核心平台。透過將 Criminal IP 情報整合至 QRadar SIEM 並延伸至 SOAR 工作流程,組織能在不離開 QRadar 環境的情況下,於整個事件處理生命週期中套用外部威脅情報。
即時分析防火牆流量日誌的威脅風險
透過 Criminal IP 與 QRadar SIEM 的整合,資安團隊能分析防火牆流量日誌,並自動評估通訊 IP 位址的風險等級。轉送至 IBM QRadar SIEM 的流量資料會透過 Criminal IP API 進行分析,結果直接顯示在 SIEM 介面中。
系統會自動將觀察到的 IP 位址分類為高、中、低風險等級。SOC資安維運中心)團隊能快速識別高風險 IP、監控內外部流量,並在熟悉的 QRadar SIEM 工作流程中優先執行阻擋存取或升級警示等回應措施。
在 QRadar 環境內深入調查
除了提供整體可視性,此整合也支援快速的情境調查功能。分析人員可直接在 QRadar 日誌活動介面中對 IP 位址按右鍵,開啟詳細的 Criminal IP 報告。
這些報告提供額外的背景資訊,包含威脅指標、歷史行為與外部曝險訊號,讓分析人員無需切換工具即可驗證風險與意圖,在時間緊迫的調查中支援更快速的決策。
延伸情報至 QRadar SOAR 自動化流程
Criminal IP 也整合至 IBM QRadar SOAR,支援事件回應期間的自動化威脅情報擴充。透過預先建置的劇本(playbook),Criminal IP 情報可套用至 IP 位址與 URL 人工製品。擴充結果會直接回傳至 SOAR 案例中,以人工製品命中或事件註記的形式呈現。
此整合包含兩個劇本:
- Criminal IP: IP Threat Service:為 IP 位址人工製品擴充 Criminal IP 威脅背景資訊
- Criminal IP: URL Threat Service:執行精簡或完整的 URL 掃描,並以人工製品命中或事件註記回傳結果
將 Criminal IP 威脅情報直接嵌入 SOAR 工作流程後,分析人員可減少手動查詢作業,更有效率地回應事件。
提升情報驅動的偵測與回應能力
整合 Criminal IP 與 IBM QRadar SIEM 及 SOAR 後,組織能結合 QRadar 的關聯分析、調查與回應能力,搭配源自真實網路曝險資料的外部威脅情報。此做法可提升偵測準確度、縮短調查週期,並強化 SOC 維運中的回應優先順序。
隨著警示數量持續成長,Criminal IP 協助 QRadar 使用者直接將外部威脅情報整合至 SIEM 與 SOAR 工作流程,讓團隊在不增加維運複雜度的情況下,做出更快速、更明智的決策。
AI SPERA 執行長 Byungtak Kang 表示,此整合凸顯即時曝險情報在現代 SOC 環境中的重要性,也展現 Criminal IP 透過實用的情報驅動整合提升偵測信心與維運效率的承諾。
本文轉載自 HackRead。