午夜刚过,您被告知有一个恶意 IP 正在攻击您的服务器。您需要对事件进行分类;确定何人、何物、何地、何时,越快越详细越好。
根据调查结果,接下来的步骤可能介于将警报归类为误报,到升级状况并在半夜叫醒组织的待命人员。
对于任何经历过类似情况的人来说,都应该知道手上的安全工具能让这种情况变得轻松得多。如果有一个平台能就公司运行的所有端点、系统和业务提供完全的可见性,那么其价值是不可估量的。
Cloudflare 通过各种服务保护客户的应用程序:DNS、CDN 和 WAF 等等。我们也有保护企业应用程序的产品,例如我们的 Zero Trust 产品 Access 和 Gateway。这些产品的每一个都会生产日志,让客户了解其环境中发生的事情。我们的许多客户在使用 Cloudflare 服务的同时,也会使用其他网络或应用程序服务,例如端点管理、容器化系统及其自己的服务器。
我们很高兴能宣布,Cloudflare 客户现能将其日志直接推送到 IBM Security QRadar SIEM。这一直接集成为 Cloudflare 和 QRadar SIEM 客户节省了成本,加快了日志交付速度,因为不需要中间云存储。
Cloudflare 已经邀请来自 IBM QRadar SIEM 团队的合作伙伴来谈谈这为我们的共同客户开启的功能。
IBM QRadar SIEM
QRadar SIEM 为安全团队提供了跨用户、端点、云、应用程序和网络的集中可见性和洞察,帮助您检测、调查和响应企业范围内的威胁。QRadar SIEM 帮助安全团队快速、高效地工作,通过自动化、人工智能驱动的浓缩和根本原因分析,将成千上万的事件转化为数量可控的优先警报,并加速调查。使用 QRadar SIEM 可以提高团队的生产力,解决关键用例,并使您的安全运营更加成熟。
Cloudflare 的反向代理和企业安全产品是客户环境的关键部分。安全分析可以从这些产品中获得有关日志的可见性,以及来自网络各种工具的数据,从而构建检测和响应工作流。
IBM 和 Cloudflare 已经合作多年,为我们的客户提供单一控制面视图。通过以上新的增强,QRadar SIEM 将能直接获取来自 Cloudflare Logpush 产品的 Cloudflare 日志。QRadar SIEM 也继续支持利用现有通过 S3 储存集成的客户。
若要进一步了解如何使用这一新的集成,请参考Cloudflare Logs DSM 指南。另外,欢迎阅读 QRadar 社区博客 了解更多信息!