IBM推出雲原生SIEM，助力安全團隊高效應對威脅

——  透過更現代化的基礎架構和重新設計的使用者體驗，該產品將使安全分析師和人工智慧並肩作戰，高效配合。

北京 2023年11月23日 /美通社/ -- 近日，IBM宣佈對其旗艦安全產品IBM QRadar SIEM進行重大升級，透過基於新的雲原生架構進行重新設計，該產品將可更好地適應混合雲上規模化、快速化和靈活化的部署。同時IBM還公佈了藉助其企業就緒的資料和人工智慧平臺watsonx在IBM威脅檢測和響應產品中融入生成式人工智慧功能的計劃。

今天的混合雲環境正在以指數級的速度發展和擴充套件，這也使得需要防護的攻擊面變得更大、更復雜。不斷增長的IT活動印記使得在各種噪音干擾中快速找到真正威脅變得更加困難——孤立的技術、手動搜尋和過載的警報，加之沒有清晰的上下文線索或視覺化支撐，都會大大減慢威脅處理速度。事實上，根據最近的一項全球調查，SOC專業人員在日常工作中，只應對了不到一半(49%)應當被其處理的警報。

新的雲原生QRadar SIEM旨在最大限度地發揮當下安全團隊的力量。它將利用人工智慧來管理耗時和重複的任務，同時使安全分析師能夠更有效地發現和響應高優先順序的安全事件，從而增強和提升安全分析師的日常工作。

IBM安全（IBM Security）戰略與產品管理副總裁Kevin Skapinetz表示:"新的雲原生SIEM是IBM為混合雲和人工智慧時代而打造的下一代安全運營的核心部分。我們不是讓分析師迴避複雜的安全技術，而是透過新技術來降低這一複雜性——也就是剔除‘噪音‘，簡化使用者體驗，並使分析師能夠以更快的速度和更強的信心解決緊迫威脅。"

IBM的雲原生SIEM將一如既往延續QRadar在深度安全分析方面長達十餘年的市場領導地位以及分析師群體的廣泛認可，其採用新設計的架構，可實現高效的資料攝取、快速搜尋和大規模分析。這一建立在開放基礎架構上的產品問世，也讓 IBM整合威脅檢測和響應的軟體組合QRadar套件（QRadar  Suite）再添一隻有力臂膀。

新的雲原生QRadar SIEM將在2023年第四季度作為SaaS面向市場，並計劃在2024年提供可用於內部部署和多雲部署的軟體。

全面開放

基於紅帽OpenShift構建的 QRadar SIEM被設計為底層開放，能實現與多供應商工具和雲的更深層次的互操作性。它利用開源和開放標準來實現包括檢測規則和搜尋語言等核心功能，這也讓它能在企業更廣泛的安全和技術堆疊中執行。

• 利用安全社群檢測 :利用通用的、共享的檢測規則語言(SIGMA)——隨著威脅情況的發展，允許客戶直接從安全社群快速匯入新的、眾包的檢測。
• 跨資料來源調查 :提供基於開源技術的獨特的聯合搜尋和威脅搜尋功能，允許分析師以單一整合的方式主動搜尋和調查雲和內部部署的資料來源中的威脅，而無需從原始資料來源行動資料。
• 深度合作伙伴網路 :建立在QRadar生態系統之上，而QRadar生態系統是業內最大的安全合作伙伴網路之一，擁有700多個預先構建的整合。

完整套件提供聯動、主動的安全響應

作為QRadar套件的一部分，新的雲原生SIEM為客戶提供了廣泛的整合功能，可以跨工具集進行更主動的檢測、調查和響應。使用QRadar 套件，企業可以透過攻擊面管理(ASM)功能直觀瞭解被暴露的資產，跨工具集搜尋威脅，使用EDR在端點進行保護，並連線到自動化指令集以加快響應(SOAR)。QRadar SIEM可為使用者提供跨核心工具集的共享見解和自動化操作，且是直接從其主使用者介面訪問，無需在工具之間切換。

企業級 AI，加速對重大威脅的響應

QRadar SIEM應用多層級人工智慧和自動化來提高警報質量和安全分析師效率。這些成熟的人工智慧功能已經在IBM龐大的客戶網路中進行了數百萬次警報預訓練，並在部署後得以進一步完善以適應不同客戶的獨特環境。例如:

• 減少噪音和改進警報 : 透過從持續的威脅情報和分析師響應模式中形成風險上下文，警報優先順序功能使用人工智慧，在自動降級低優先順序警報的同時自動分組、上下文化和升級高優先順序警報。該功能成功讓IBM諮詢的網路安全服務為客戶自動化了85%的警報管理，並在應用的第一年就將威脅分類時間縮短了55%。
• 啟動調查 :人工智慧功能可自動在連線的系統上進行聯合搜尋，生成視覺化的攻擊時間表，MITRE ATT&CK 框架對映，以及行動建議，從而為分析師在調查任務中獲得重要先機。
• 自動更新檢測 :QRadar SIEM的分析會根據新的檢測規則和威脅情報自動更新，以跟上不斷演化的威脅。

IBM的人工智慧安全功能內嵌在QRadar 套件的分析師介面中，為分析師提供上下文洞察，並幫助他們在日常工作流程中更直觀地利用人工智慧。

生成式人工智慧提升 SOC生產力

IBM還計劃在2024年初為QRadar套件釋出基於IBM人工智慧和資料平臺watsonx的生成式人工智慧安全功能。IBM開發這一功能旨在最佳化安全團隊的時間和人才使用，例如幫助分析師管理某些繁瑣任務，同時也讓他們更好地執行更具挑戰性、更高價值的工作。包括:

• 自動 建立 報告 :建立安全案例和事件的簡單摘要，可一鍵與各利益相關方共享。
• 加速威脅搜尋 :根據攻擊行為和模式的自然語言描述自動完成搜尋以檢測威脅，這有助於加快對新威脅活動的響應。
• 解釋機器生成的資料 :透過對系統安全事件提供簡單的解釋，幫助分析人員快速理解安全日誌資料，從而降低技術障礙，加快調查速度。
• 管理 威脅情報 :解釋和總結高相關性的威脅情報，並根據客戶自身的風險概況，側重更有可能影響客戶的威脅。

IBM還在開發預測性生成式人工智慧安全功能，經過訓練，該功能將可發起主動響應，並隨著時間推移而不斷最佳化，例如幫助安全團隊發現同類安全事件、更新受影響的系統和修補易受攻擊的程式碼。

除了這些用例，IBM還計劃在其更多的安全軟體和服務中嵌入生成式人工智慧。這些功能將充分利用watsonx基礎設施和watsonx人工智慧模型，這些模型都在精心設計的特定領域的資料集上經過訓練，因此具備更高的可信任度、透明度和準確性。