IBM推出云原生SIEM，助力安全团队高效应对威胁

——通过更现代化的基础架构和重新设计的用户体验，该产品将使安全分析师和人工智能并肩作战，高效配合。

近日，IBM宣布对其旗舰安全产品IBM QRadar SIEM进行重大升级，通过基于新的云原生架构进行重新设计，该产品将可更好地适应混合云上规模化、快速化和灵活化的部署。同时IBM还公布了借助其企业就绪的数据和人工智能平台watsonx在IBM威胁检测和响应产品中融入生成式人工智能功能的计划。

今天的混合云环境正在以指数级的速度发展和扩展，这也使得需要防护的攻击面变得更大、更复杂。不断增长的IT活动印记使得在各种噪音干扰中快速找到真正威胁变得更加困难——孤立的技术、手动搜索和过载的警报，加之没有清晰的上下文线索或可视化支撑，都会大大减慢威胁处理速度。事实上，根据最近的一项全球调查，SOC专业人员在日常工作中，只应对了不到一半(49%)应当被其处理的警报。

新的云原生QRadar SIEM旨在最大限度地发挥当下安全团队的力量。它将利用人工智能来管理耗时和重复的任务，同时使安全分析师能够更有效地发现和响应高优先级的安全事件，从而增强和提升安全分析师的日常工作。

IBM安全（IBM Security）战略与产品管理副总裁Kevin Skapinetz表示:"新的云原生SIEM是IBM为混合云和人工智能时代而打造的下一代安全运营的核心部分。我们不是让分析师回避复杂的安全技术，而是通过新技术来降低这一复杂性——也就是剔除‘噪音‘，简化用户体验，并使分析师能够以更快的速度和更强的信心解决紧迫威胁。"

IBM的云原生SIEM将一如既往延续QRadar在深度安全分析方面长达十余年的市场领导地位以及分析师群体的广泛认可，其采用新设计的架构，可实现高效的数据摄取、快速搜索和大规模分析。这一建立在开放基础架构上的产品问世，也让 IBM集成威胁检测和响应的软件组合QRadar套件（QRadar Suite）再添一只有力臂膀。

新的云原生QRadar SIEM将在2023年第四季度作为SaaS面向市场，并计划在2024年提供可用于内部部署和多云部署的软件。

全面开放

基于红帽OpenShift构建的 QRadar SIEM被设计为底层开放，能实现与多供应商工具和云的更深层次的互操作性。它利用开源和开放标准来实现包括检测规则和搜索语言等核心功能，这也让它能在企业更广泛的安全和技术堆栈中运行。

利用安全社区检测:利用通用的、共享的检测规则语言(SIGMA)——随着威胁情况的发展，允许客户直接从安全社区快速导入新的、众包的检测。

跨数据源调查:提供基于开源技术的独特的联合搜索和威胁搜索功能，允许分析师以单一整合的方式主动搜索和调查云和内部部署的数据源中的威胁，而无需从原始数据源移动数据。

深度合作伙伴网络:建立在QRadar生态系统之上，而QRadar生态系统是业内最大的安全合作伙伴网络之一，拥有700多个预先构建的集成。

完整套件提供联动、主动的安全响应

作为QRadar套件的一部分，新的云原生SIEM为客户提供了广泛的集成功能，可以跨工具集进行更主动的检测、调查和响应。使用QRadar 套件，企业可以通过攻击面管理(ASM)功能直观了解被暴露的资产，跨工具集搜索威胁，使用EDR在端点进行保护，并连接到自动化指令集以加快响应(SOAR)。QRadar SIEM可为用户提供跨核心工具集的共享见解和自动化操作，且是直接从其主用户界面访问，无需在工具之间切换。

企业级AI，加速对重大威胁的响应

QRadar SIEM应用多层级人工智能和自动化来提高警报质量和安全分析师效率。这些成熟的人工智能功能已经在IBM庞大的客户网络中进行了数百万次警报预训练，并在部署后得以进一步完善以适应不同客户的独特环境。例如:

减少噪音和改进警报:通过从持续的威胁情报和分析师响应模式中形成风险上下文，警报优先级功能使用人工智能，在自动降级低优先级警报的同时自动分组、上下文化和升级高优先级警报。该功能成功让IBM咨询的网络安全服务为客户自动化了85%的警报管理，并在应用的第一年就将威胁分类时间缩短了55%。

启动调查:人工智能功能可自动在连接的系统上进行联合搜索，生成可视化的攻击时间表，MITRE ATT&CK 框架映射，以及行动建议，从而为分析师在调查任务中获得重要先机。

自动更新检测:QRadar SIEM的分析会根据新的检测规则和威胁情报自动更新，以跟上不断演化的威胁。

IBM的人工智能安全功能内嵌在QRadar 套件的分析师界面中，为分析师提供上下文洞察，并帮助他们在日常工作流程中更直观地利用人工智能。

生成式人工智能提升SOC生产力

IBM还计划在2024年初为QRadar套件发布基于IBM人工智能和数据平台watsonx的生成式人工智能安全功能。IBM开发这一功能旨在优化安全团队的时间和人才使用，例如帮助分析师管理某些繁琐任务，同时也让他们更好地执行更具挑战性、更高价值的工作。包括:

自动创建报告:创建安全案例和事件的简单摘要，可一键与各利益相关方共享。

加速威胁搜索:根据攻击行为和模式的自然语言描述自动完成搜索以检测威胁，这有助于加快对新威胁活动的响应。

解释机器生成的数据:通过对系统安全事件提供简单的解释，帮助分析人员快速理解安全日志数据，从而降低技术障碍，加快调查速度。

管理威胁情报:解释和总结高相关性的威胁情报，并根据客户自身的风险概况，侧重更有可能影响客户的威胁。

IBM还在开发预测性生成式人工智能安全功能，经过训练，该功能将可发起主动响应，并随着时间推移而不断优化，例如帮助安全团队发现同类安全事件、更新受影响的系统和修补易受攻击的代码。

除了这些用例，IBM还计划在其更多的安全软件和服务中嵌入生成式人工智能。这些功能将充分利用watsonx基础设施和watsonx人工智能模型，这些模型都在精心设计的特定领域的数据集上经过训练，因此具备更高的可信任度、透明度和准确性。

审核编辑：汤梓红