—— 通過更現(xiàn)代化的基礎架構和重新設計的用戶體驗����,該產品將使安全分析師和人工智能并肩作戰(zhàn)���,高效配合����。
北京2023年11月23日 /美通社/ -- 近日���,IBM宣布對其旗艦安全產品IBM QRadar SIEM進行重大升級�,通過基于新的云原生架構進行重新設計��,該產品將可更好地適應混合云上規(guī)?��;?����、快速化和靈活化的部署�����。同時IBM還公布了借助其企業(yè)就緒的數(shù)據(jù)和人工智能平臺watsonx在IBM威脅檢測和響應產品中融入生成式人工智能功能的計劃�����。
今天的混合云環(huán)境正在以指數(shù)級的速度發(fā)展和擴展��,這也使得需要防護的攻擊面變得更大���、更復雜��。不斷增長的IT活動印記使得在各種噪音干擾中快速找到真正威脅變得更加困難——孤立的技術���、手動搜索和過載的警報�����,加之沒有清晰的上下文線索或可視化支撐�,都會大大減慢威脅處理速度。事實上�,根據(jù)最近的一項全球調查,SOC專業(yè)人員在日常工作中,只應對了不到一半(49%)應當被其處理的警報�。
新的云原生QRadar SIEM旨在最大限度地發(fā)揮當下安全團隊的力量。它將利用人工智能來管理耗時和重復的任務�����,同時使安全分析師能夠更有效地發(fā)現(xiàn)和響應高優(yōu)先級的安全事件���,從而增強和提升安全分析師的日常工作���。
IBM安全(IBM Security)戰(zhàn)略與產品管理副總裁Kevin Skapinetz表示:"新的云原生SIEM是IBM為混合云和人工智能時代而打造的下一代安全運營的核心部分。我們不是讓分析師回避復雜的安全技術�����,而是通過新技術來降低這一復雜性——也就是剔除‘噪音‘���,簡化用戶體驗���,并使分析師能夠以更快的速度和更強的信心解決緊迫威脅。"
IBM的云原生SIEM將一如既往延續(xù)QRadar在深度安全分析方面長達十余年的市場領導地位以及分析師群體的廣泛認可����,其采用新設計的架構��,可實現(xiàn)高效的數(shù)據(jù)攝取、快速搜索和大規(guī)模分析�。這一建立在開放基礎架構上的產品問世,也讓 IBM集成威脅檢測和響應的軟件組合QRadar套件(QRadar Suite)再添一只有力臂膀�。
新的云原生QRadar SIEM將在2023年第四季度作為SaaS面向市場,并計劃在2024年提供可用于內部部署和多云部署的軟件���。
全面開放
基于紅帽O(jiān)penShift構建的 QRadar SIEM被設計為底層開放�����,能實現(xiàn)與多供應商工具和云的更深層次的互操作性����。它利用開源和開放標準來實現(xiàn)包括檢測規(guī)則和搜索語言等核心功能���,這也讓它能在企業(yè)更廣泛的安全和技術堆棧中運行���。
- 利用安全社區(qū)檢測:利用通用的�、共享的檢測規(guī)則語言(SIGMA)——隨著威脅情況的發(fā)展,允許客戶直接從安全社區(qū)快速導入新的、眾包的檢測���。
- 跨數(shù)據(jù)源調查:提供基于開源技術的獨特的聯(lián)合搜索和威脅搜索功能�����,允許分析師以單一整合的方式主動搜索和調查云和內部部署的數(shù)據(jù)源中的威脅��,而無需從原始數(shù)據(jù)源移動數(shù)據(jù)���。
- 深度合作伙伴網(wǎng)絡:建立在QRadar生態(tài)系統(tǒng)之上,而QRadar生態(tài)系統(tǒng)是業(yè)內最大的安全合作伙伴網(wǎng)絡之一���,擁有700多個預先構建的集成�。
完整套件提供聯(lián)動�����、主動的安全響應
作為QRadar套件的一部分�,新的云原生SIEM為客戶提供了廣泛的集成功能,可以跨工具集進行更主動的檢測�����、調查和響應。使用QRadar 套件��,企業(yè)可以通過攻擊面管理(ASM)功能直觀了解被暴露的資產�,跨工具集搜索威脅,使用EDR在端點進行保護�����,并連接到自動化指令集以加快響應(SOAR)����。QRadar SIEM可為用戶提供跨核心工具集的共享見解和自動化操作,且是直接從其主用戶界面訪問��,無需在工具之間切換����。
企業(yè)級AI,加速對重大威脅的響應
QRadar SIEM應用多層級人工智能和自動化來提高警報質量和安全分析師效率�����。這些成熟的人工智能功能已經在IBM龐大的客戶網(wǎng)絡中進行了數(shù)百萬次警報預訓練����,并在部署后得以進一步完善以適應不同客戶的獨特環(huán)境。例如:
- 減少噪音和改進警報: 通過從持續(xù)的威脅情報和分析師響應模式中形成風險上下文�����,警報優(yōu)先級功能使用人工智能�,在自動降級低優(yōu)先級警報的同時自動分組、上下文化和升級高優(yōu)先級警報�。該功能成功讓IBM咨詢的網(wǎng)絡安全服務為客戶自動化了85%的警報管理,并在應用的第一年就將威脅分類時間縮短了55%��。
- 啟動調查:人工智能功能可自動在連接的系統(tǒng)上進行聯(lián)合搜索��,生成可視化的攻擊時間表�����,MITRE ATT&CK 框架映射��,以及行動建議��,從而為分析師在調查任務中獲得重要先機�。
- 自動更新檢測:QRadar SIEM的分析會根據(jù)新的檢測規(guī)則和威脅情報自動更新�����,以跟上不斷演化的威脅��。
IBM的人工智能安全功能內嵌在QRadar 套件的分析師界面中�,為分析師提供上下文洞察���,并幫助他們在日常工作流程中更直觀地利用人工智能�����。
生成式人工智能提升SOC生產力
IBM還計劃在2024年初為QRadar套件發(fā)布基于IBM人工智能和數(shù)據(jù)平臺watsonx的生成式人工智能安全功能���。IBM開發(fā)這一功能旨在優(yōu)化安全團隊的時間和人才使用,例如幫助分析師管理某些繁瑣任務�,同時也讓他們更好地執(zhí)行更具挑戰(zhàn)性、更高價值的工作���。包括:
- 自動創(chuàng)建報告:創(chuàng)建安全案例和事件的簡單摘要,可一鍵與各利益相關方共享�����。
- 加速威脅搜索:根據(jù)攻擊行為和模式的自然語言描述自動完成搜索以檢測威脅�����,這有助于加快對新威脅活動的響應����。
- 解釋機器生成的數(shù)據(jù):通過對系統(tǒng)安全事件提供簡單的解釋�,幫助分析人員快速理解安全日志數(shù)據(jù),從而降低技術障礙�,加快調查速度。
- 管理威脅情報:解釋和總結高相關性的威脅情報�,并根據(jù)客戶自身的風險概況,側重更有可能影響客戶的威脅�。
IBM還在開發(fā)預測性生成式人工智能安全功能,經過訓練�,該功能將可發(fā)起主動響應,并隨著時間推移而不斷優(yōu)化�����,例如幫助安全團隊發(fā)現(xiàn)同類安全事件��、更新受影響的系統(tǒng)和修補易受攻擊的代碼。
除了這些用例�����,IBM還計劃在其更多的安全軟件和服務中嵌入生成式人工智能�。這些功能將充分利用watsonx基礎設施和watsonx人工智能模型,這些模型都在精心設計的特定領域的數(shù)據(jù)集上經過訓練���,因此具備更高的可信任度�、透明度和準確性���。
有關QRadar SIEM的更多信息�����,請訪問: https://www.ibm.com/products/qradar-cloud-native-siem
有關AI For Security的更多信息�,請訪問: https://www.ibm.com/security/artificial-intelligence
有關IBM未來方向和意圖的聲明僅代表目標和目的�����,可隨時更改或撤回�,恕不另行通知。
