IBM推出云原生SIEM，助力安全團隊高效應(yīng)對威脅

通過更現(xiàn)代化的基礎(chǔ)架構(gòu)和重新設(shè)計的用戶體驗，該產(chǎn)品將使安全分析師和人工智能并肩作戰(zhàn)，高效配合。

近日，IBM宣布對其旗艦安全產(chǎn)品IBM QRadar SIEM進行重大升級，通過基于新的云原生架構(gòu)進行重新設(shè)計，該產(chǎn)品將可更好地適應(yīng)混合云上規(guī)?；?、快速化和靈活化的部署。同時IBM還公布了借助其企業(yè)就緒的數(shù)據(jù)和人工智能平臺watsonx在IBM威脅檢測和響應(yīng)產(chǎn)品中融入生成式人工智能功能的計劃。

今天的混合云環(huán)境正在以指數(shù)級的速度發(fā)展和擴展，這也使得需要防護的攻擊面變得更大、更復(fù)雜。不斷增長的IT活動印記使得在各種噪音干擾中快速找到真正威脅變得更加困難——孤立的技術(shù)、手動搜索和過載的警報，加之沒有清晰的上下文線索或可視化支撐，都會大大減慢威脅處理速度。事實上，根據(jù)最近的一項全球調(diào)查，SOC專業(yè)人員在日常工作中，只應(yīng)對了不到一半（49%）應(yīng)當(dāng)被其處理的警報。

新的云原生QRadar SIEM旨在最大限度地發(fā)揮當(dāng)下安全團隊的力量。它將利用人工智能來管理耗時和重復(fù)的任務(wù)，同時使安全分析師能夠更有效地發(fā)現(xiàn)和響應(yīng)高優(yōu)先級的安全事件，從而增強和提升安全分析師的日常工作。

IBM安全（IBM Security）戰(zhàn)略與產(chǎn)品管理副總裁Kevin Skapinetz表示:“新的云原生SIEM是IBM為混合云和人工智能時代而打造的下一代安全運營的核心部分。我們不是讓分析師回避復(fù)雜的安全技術(shù)，而是通過新技術(shù)來降低這一復(fù)雜性——也就是剔除‘噪音‘，簡化用戶體驗，并使分析師能夠以更快的速度和更強的信心解決緊迫威脅?！?/p>

IBM的云原生SIEM將一如既往延續(xù)QRadar在深度安全分析方面長達十余年的市場領(lǐng)導(dǎo)地位以及分析師群體的廣泛認可，其采用新設(shè)計的架構(gòu)，可實現(xiàn)高效的數(shù)據(jù)攝取、快速搜索和大規(guī)模分析。這一建立在開放基礎(chǔ)架構(gòu)上的產(chǎn)品問世，也讓IBM集成威脅檢測和響應(yīng)的軟件組合QRadar套件（QRadar Suite）再添一只有力臂膀。

新的云原生QRadar SIEM將在2023年第四季度作為SaaS面向市場，并計劃在2024年提供可用于內(nèi)部部署和多云部署的軟件。

全面開放

基于紅帽O(jiān)penShift構(gòu)建的QRadar SIEM被設(shè)計為底層開放，能實現(xiàn)與多供應(yīng)商工具和云的更深層次的互操作性。它利用開源和開放標準來實現(xiàn)包括檢測規(guī)則和搜索語言等核心功能，這也讓它能在企業(yè)更廣泛的安全和技術(shù)堆棧中運行。

·利用安全社區(qū)檢測:利用通用的、共享的檢測規(guī)則語言（SIGMA）——隨著威脅情況的發(fā)展，允許客戶直接從安全社區(qū)快速導(dǎo)入新的、眾包的檢測。

·跨數(shù)據(jù)源調(diào)查:提供基于開源技術(shù)的獨特的聯(lián)合搜索和威脅搜索功能，允許分析師以單一整合的方式主動搜索和調(diào)查云和內(nèi)部部署的數(shù)據(jù)源中的威脅，而無需從原始數(shù)據(jù)源移動數(shù)據(jù)。

·深度合作伙伴網(wǎng)絡(luò):建立在QRadar生態(tài)系統(tǒng)之上，而QRadar生態(tài)系統(tǒng)是業(yè)內(nèi)最大的安全合作伙伴網(wǎng)絡(luò)之一，擁有700多個預(yù)先構(gòu)建的集成。

完整套件提供聯(lián)動、主動的安全響應(yīng)

作為QRadar套件的一部分，新的云原生SIEM為客戶提供了廣泛的集成功能，可以跨工具集進行更主動的檢測、調(diào)查和響應(yīng)。使用QRadar套件，企業(yè)可以通過攻擊面管理（ASM）功能直觀了解被暴露的資產(chǎn)，跨工具集搜索威脅，使用EDR在端點進行保護，并連接到自動化指令集以加快響應(yīng)（SOAR）。QRadar SIEM可為用戶提供跨核心工具集的共享見解和自動化操作，且是直接從其主用戶界面訪問，無需在工具之間切換。

企業(yè)級AI，加速對重大威脅的響應(yīng)

QRadar SIEM應(yīng)用多層級人工智能和自動化來提高警報質(zhì)量和安全分析師效率。這些成熟的人工智能功能已經(jīng)在IBM龐大的客戶網(wǎng)絡(luò)中進行了數(shù)百萬次警報預(yù)訓(xùn)練，并在部署后得以進一步完善以適應(yīng)不同客戶的獨特環(huán)境。例如:

·減少噪音和改進警報:通過從持續(xù)的威脅情報和分析師響應(yīng)模式中形成風(fēng)險上下文，警報優(yōu)先級功能使用人工智能，在自動降級低優(yōu)先級警報的同時自動分組、上下文化和升級高優(yōu)先級警報。該功能成功讓IBM咨詢的網(wǎng)絡(luò)安全服務(wù)為客戶自動化了85%的警報管理，并在應(yīng)用的第一年就將威脅分類時間縮短了55%。

·啟動調(diào)查:人工智能功能可自動在連接的系統(tǒng)上進行聯(lián)合搜索，生成可視化的攻擊時間表，MITRE ATT&CK框架映射，以及行動建議，從而為分析師在調(diào)查任務(wù)中獲得重要先機。

·自動更新檢測:QRadar SIEM的分析會根據(jù)新的檢測規(guī)則和威脅情報自動更新，以跟上不斷演化的威脅。

IBM的人工智能安全功能內(nèi)嵌在QRadar套件的分析師界面中，為分析師提供上下文洞察，并幫助他們在日常工作流程中更直觀地利用人工智能。

生成式人工智能提升SOC生產(chǎn)力

IBM還計劃在2024年初為QRadar套件發(fā)布基于IBM人工智能和數(shù)據(jù)平臺watsonx的生成式人工智能安全功能。IBM開發(fā)這一功能旨在優(yōu)化安全團隊的時間和人才使用，例如幫助分析師管理某些繁瑣任務(wù)，同時也讓他們更好地執(zhí)行更具挑戰(zhàn)性、更高價值的工作。包括:

·自動創(chuàng)建報告:創(chuàng)建安全案例和事件的簡單摘要，可一鍵與各利益相關(guān)方共享。

·加速威脅搜索:根據(jù)攻擊行為和模式的自然語言描述自動完成搜索以檢測威脅，這有助于加快對新威脅活動的響應(yīng)。

·解釋機器生成的數(shù)據(jù):通過對系統(tǒng)安全事件提供簡單的解釋，幫助分析人員快速理解安全日志數(shù)據(jù)，從而降低技術(shù)障礙，加快調(diào)查速度。

·管理威脅情報:解釋和總結(jié)高相關(guān)性的威脅情報，并根據(jù)客戶自身的風(fēng)險概況，側(cè)重更有可能影響客戶的威脅。

IBM還在開發(fā)預(yù)測性生成式人工智能安全功能，經(jīng)過訓(xùn)練，該功能將可發(fā)起主動響應(yīng)，并隨著時間推移而不斷優(yōu)化，例如幫助安全團隊發(fā)現(xiàn)同類安全事件、更新受影響的系統(tǒng)和修補易受攻擊的代碼。

除了這些用例，IBM還計劃在其更多的安全軟件和服務(wù)中嵌入生成式人工智能。這些功能將充分利用watsonx基礎(chǔ)設(shè)施和watsonx人工智能模型，這些模型都在精心設(shè)計的特定領(lǐng)域的數(shù)據(jù)集上經(jīng)過訓(xùn)練，因此具備更高的可信任度、透明度和準確性。

關(guān)于IBM Security

IBM Security提供全球領(lǐng)先的集成式企業(yè)安全系列產(chǎn)品和服務(wù)。在享譽全球的IBM Security X-Force?研究團隊的支持下，這些企業(yè)安全系列產(chǎn)品和服務(wù)旨在幫助企業(yè)高效管理風(fēng)險，從容應(yīng)對突發(fā)威脅。IBM旗下的IBM Security是集全球最廣泛的安全研究、開發(fā)和交付為一體的組織之一，每天為全球超過130個國家及地區(qū)的客戶監(jiān)測超過1500億起的安全事件，在全球范圍擁有超過10,000項安全專利。