omniture

IBM推出云原生SIEM,助力安全團(tuán)隊(duì)高效應(yīng)對(duì)威脅

IBM China
2023-11-23 13:44 3703

—— 通過(guò)更現(xiàn)代化的基礎(chǔ)架構(gòu)和重新設(shè)計(jì)的用戶(hù)體驗(yàn),該產(chǎn)品將使安全分析師和人工智能并肩作戰(zhàn),高效配合。

北京2023年11月23日 /美通社/ -- 近日,IBM宣布對(duì)其旗艦安全產(chǎn)品IBM QRadar SIEM進(jìn)行重大升級(jí),通過(guò)基于新的云原生架構(gòu)進(jìn)行重新設(shè)計(jì),該產(chǎn)品將可更好地適應(yīng)混合云上規(guī)?;⒖焖倩挽`活化的部署。同時(shí)IBM還公布了借助其企業(yè)就緒的數(shù)據(jù)和人工智能平臺(tái)watsonx在IBM威脅檢測(cè)和響應(yīng)產(chǎn)品中融入生成式人工智能功能的計(jì)劃。


今天的混合云環(huán)境正在以指數(shù)級(jí)的速度發(fā)展和擴(kuò)展,這也使得需要防護(hù)的攻擊面變得更大、更復(fù)雜。不斷增長(zhǎng)的IT活動(dòng)印記使得在各種噪音干擾中快速找到真正威脅變得更加困難——孤立的技術(shù)、手動(dòng)搜索和過(guò)載的警報(bào),加之沒(méi)有清晰的上下文線(xiàn)索或可視化支撐,都會(huì)大大減慢威脅處理速度。事實(shí)上,根據(jù)最近的一項(xiàng)全球調(diào)查,SOC專(zhuān)業(yè)人員在日常工作中,只應(yīng)對(duì)了不到一半(49%)應(yīng)當(dāng)被其處理的警報(bào)。

新的云原生QRadar SIEM旨在最大限度地發(fā)揮當(dāng)下安全團(tuán)隊(duì)的力量。它將利用人工智能來(lái)管理耗時(shí)和重復(fù)的任務(wù),同時(shí)使安全分析師能夠更有效地發(fā)現(xiàn)和響應(yīng)高優(yōu)先級(jí)的安全事件,從而增強(qiáng)和提升安全分析師的日常工作。

IBM安全(IBM Security)戰(zhàn)略與產(chǎn)品管理副總裁Kevin Skapinetz表示:"新的云原生SIEM是IBM為混合云和人工智能時(shí)代而打造的下一代安全運(yùn)營(yíng)的核心部分。我們不是讓分析師回避復(fù)雜的安全技術(shù),而是通過(guò)新技術(shù)來(lái)降低這一復(fù)雜性——也就是剔除‘噪音‘,簡(jiǎn)化用戶(hù)體驗(yàn),并使分析師能夠以更快的速度和更強(qiáng)的信心解決緊迫威脅。"

IBM的云原生SIEM將一如既往延續(xù)QRadar在深度安全分析方面長(zhǎng)達(dá)十余年的市場(chǎng)領(lǐng)導(dǎo)地位以及分析師群體的廣泛認(rèn)可,其采用新設(shè)計(jì)的架構(gòu),可實(shí)現(xiàn)高效的數(shù)據(jù)攝取、快速搜索和大規(guī)模分析。這一建立在開(kāi)放基礎(chǔ)架構(gòu)上的產(chǎn)品問(wèn)世,也讓 IBM集成威脅檢測(cè)和響應(yīng)的軟件組合QRadar套件(QRadar  Suite)再添一只有力臂膀。

新的云原生QRadar SIEM將在2023年第四季度作為SaaS面向市場(chǎng),并計(jì)劃在2024年提供可用于內(nèi)部部署和多云部署的軟件。


全面開(kāi)放

基于紅帽O(jiān)penShift構(gòu)建的 QRadar SIEM被設(shè)計(jì)為底層開(kāi)放,能實(shí)現(xiàn)與多供應(yīng)商工具和云的更深層次的互操作性。它利用開(kāi)源和開(kāi)放標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)包括檢測(cè)規(guī)則和搜索語(yǔ)言等核心功能,這也讓它能在企業(yè)更廣泛的安全和技術(shù)堆棧中運(yùn)行。

  • 利用安全社區(qū)檢測(cè):利用通用的、共享的檢測(cè)規(guī)則語(yǔ)言(SIGMA)——隨著威脅情況的發(fā)展,允許客戶(hù)直接從安全社區(qū)快速導(dǎo)入新的、眾包的檢測(cè)。
  • 跨數(shù)據(jù)源調(diào)查:提供基于開(kāi)源技術(shù)的獨(dú)特的聯(lián)合搜索和威脅搜索功能,允許分析師以單一整合的方式主動(dòng)搜索和調(diào)查云和內(nèi)部部署的數(shù)據(jù)源中的威脅,而無(wú)需從原始數(shù)據(jù)源移動(dòng)數(shù)據(jù)。
  • 深度合作伙伴網(wǎng)絡(luò):建立在QRadar生態(tài)系統(tǒng)之上,而QRadar生態(tài)系統(tǒng)是業(yè)內(nèi)最大的安全合作伙伴網(wǎng)絡(luò)之一,擁有700多個(gè)預(yù)先構(gòu)建的集成。

完整套件提供聯(lián)動(dòng)、主動(dòng)的安全響應(yīng)

作為QRadar套件的一部分,新的云原生SIEM為客戶(hù)提供了廣泛的集成功能,可以跨工具集進(jìn)行更主動(dòng)的檢測(cè)、調(diào)查和響應(yīng)。使用QRadar 套件,企業(yè)可以通過(guò)攻擊面管理(ASM)功能直觀(guān)了解被暴露的資產(chǎn),跨工具集搜索威脅,使用EDR在端點(diǎn)進(jìn)行保護(hù),并連接到自動(dòng)化指令集以加快響應(yīng)(SOAR)。QRadar SIEM可為用戶(hù)提供跨核心工具集的共享見(jiàn)解和自動(dòng)化操作,且是直接從其主用戶(hù)界面訪(fǎng)問(wèn),無(wú)需在工具之間切換。

企業(yè)級(jí)AI,加速對(duì)重大威脅的響應(yīng)

QRadar SIEM應(yīng)用多層級(jí)人工智能和自動(dòng)化來(lái)提高警報(bào)質(zhì)量和安全分析師效率。這些成熟的人工智能功能已經(jīng)在IBM龐大的客戶(hù)網(wǎng)絡(luò)中進(jìn)行了數(shù)百萬(wàn)次警報(bào)預(yù)訓(xùn)練,并在部署后得以進(jìn)一步完善以適應(yīng)不同客戶(hù)的獨(dú)特環(huán)境。例如:

  • 減少噪音和改進(jìn)警報(bào): 通過(guò)從持續(xù)的威脅情報(bào)和分析師響應(yīng)模式中形成風(fēng)險(xiǎn)上下文,警報(bào)優(yōu)先級(jí)功能使用人工智能,在自動(dòng)降級(jí)低優(yōu)先級(jí)警報(bào)的同時(shí)自動(dòng)分組、上下文化和升級(jí)高優(yōu)先級(jí)警報(bào)。該功能成功讓IBM咨詢(xún)的網(wǎng)絡(luò)安全服務(wù)為客戶(hù)自動(dòng)化了85%的警報(bào)管理,并在應(yīng)用的第一年就將威脅分類(lèi)時(shí)間縮短了55%。
  • 啟動(dòng)調(diào)查:人工智能功能可自動(dòng)在連接的系統(tǒng)上進(jìn)行聯(lián)合搜索,生成可視化的攻擊時(shí)間表,MITRE ATT&CK 框架映射,以及行動(dòng)建議,從而為分析師在調(diào)查任務(wù)中獲得重要先機(jī)。
  • 自動(dòng)更新檢測(cè):QRadar SIEM的分析會(huì)根據(jù)新的檢測(cè)規(guī)則和威脅情報(bào)自動(dòng)更新,以跟上不斷演化的威脅。

IBM的人工智能安全功能內(nèi)嵌在QRadar 套件的分析師界面中,為分析師提供上下文洞察,并幫助他們?cè)谌粘9ぷ髁鞒讨懈庇^(guān)地利用人工智能。

生成式人工智能提升SOC生產(chǎn)力

IBM還計(jì)劃在2024年初為QRadar套件發(fā)布基于IBM人工智能和數(shù)據(jù)平臺(tái)watsonx的生成式人工智能安全功能。IBM開(kāi)發(fā)這一功能旨在優(yōu)化安全團(tuán)隊(duì)的時(shí)間和人才使用,例如幫助分析師管理某些繁瑣任務(wù),同時(shí)也讓他們更好地執(zhí)行更具挑戰(zhàn)性、更高價(jià)值的工作。包括:

  • 自動(dòng)創(chuàng)建報(bào)告:創(chuàng)建安全案例和事件的簡(jiǎn)單摘要,可一鍵與各利益相關(guān)方共享。
  • 加速威脅搜索:根據(jù)攻擊行為和模式的自然語(yǔ)言描述自動(dòng)完成搜索以檢測(cè)威脅,這有助于加快對(duì)新威脅活動(dòng)的響應(yīng)。
  • 解釋機(jī)器生成的數(shù)據(jù):通過(guò)對(duì)系統(tǒng)安全事件提供簡(jiǎn)單的解釋?zhuān)瑤椭治鋈藛T快速理解安全日志數(shù)據(jù),從而降低技術(shù)障礙,加快調(diào)查速度。
  • 管理威脅情報(bào):解釋和總結(jié)高相關(guān)性的威脅情報(bào),并根據(jù)客戶(hù)自身的風(fēng)險(xiǎn)概況,側(cè)重更有可能影響客戶(hù)的威脅。

IBM還在開(kāi)發(fā)預(yù)測(cè)性生成式人工智能安全功能,經(jīng)過(guò)訓(xùn)練,該功能將可發(fā)起主動(dòng)響應(yīng),并隨著時(shí)間推移而不斷優(yōu)化,例如幫助安全團(tuán)隊(duì)發(fā)現(xiàn)同類(lèi)安全事件、更新受影響的系統(tǒng)和修補(bǔ)易受攻擊的代碼。

除了這些用例,IBM還計(jì)劃在其更多的安全軟件和服務(wù)中嵌入生成式人工智能。這些功能將充分利用watsonx基礎(chǔ)設(shè)施和watsonx人工智能模型,這些模型都在精心設(shè)計(jì)的特定領(lǐng)域的數(shù)據(jù)集上經(jīng)過(guò)訓(xùn)練,因此具備更高的可信任度、透明度和準(zhǔn)確性。

有關(guān)QRadar SIEM的更多信息,請(qǐng)?jiān)L問(wèn): https://www.ibm.com/products/qradar-cloud-native-siem

有關(guān)AI For Security的更多信息,請(qǐng)?jiān)L問(wèn): https://www.ibm.com/security/artificial-intelligence

有關(guān)IBM未來(lái)方向和意圖的聲明僅代表目標(biāo)和目的,可隨時(shí)更改或撤回,恕不另行通知。

消息來(lái)源:IBM China
China-PRNewsire-300-300.png
全球TMT
微信公眾號(hào)“全球TMT”發(fā)布全球互聯(lián)網(wǎng)、科技、媒體、通訊企業(yè)的經(jīng)營(yíng)動(dòng)態(tài)、財(cái)報(bào)信息、企業(yè)并購(gòu)消息。掃描二維碼,立即訂閱!
collection