——通過更現代化的基礎架構和重新設計的用戶體驗，該產品將使安全分析師和人工智能并肩作戰，高效配合。

近日，IBM宣布對其旗艦安全產品IBM QRadar SIEM進行重大升級，通過基于新的云原生架構進行重新設計，該產品將可更好地適應混合云上規模化、快速化和靈活化的部署。同時IBM還公布了借助其企業就緒的數據和人工智能平臺watsonx在IBM威脅檢測和響應產品中融入生成式人工智能功能的計劃。

今天的混合云環境正在以指數級的速度發展和擴展，這也使得需要防護的攻擊面變得更大、更復雜。不斷增長的IT活動印記使得在各種噪音干擾中快速找到真正威脅變得更加困難——孤立的技術、手動搜索和過載的警報，加之沒有清晰的上下文線索或可視化支撐，都會大大減慢威脅處理速度。事實上，根據最近的一項全球調查，SOC專業人員在日常工作中，只應對了不到一半(49%)應當被其處理的警報。

新的云原生QRadar SIEM旨在最大限度地發揮當下安全團隊的力量。它將利用人工智能來管理耗時和重復的任務，同時使安全分析師能夠更有效地發現和響應高優先級的安全事件，從而增強和提升安全分析師的日常工作。

IBM安全（IBM Security）戰略與產品管理副總裁Kevin Skapinetz表示:"新的云原生SIEM是IBM為混合云和人工智能時代而打造的下一代安全運營的核心部分。我們不是讓分析師回避復雜的安全技術，而是通過新技術來降低這一復雜性——也就是剔除‘噪音‘，簡化用戶體驗，并使分析師能夠以更快的速度和更強的信心解決緊迫威脅。"

IBM的云原生SIEM將一如既往延續QRadar在深度安全分析方面長達十余年的市場領導地位以及分析師群體的廣泛認可，其采用新設計的架構，可實現高效的數據攝取、快速搜索和大規模分析。這一建立在開放基礎架構上的產品問世，也讓 IBM集成威脅檢測和響應的軟件組合QRadar套件（QRadar Suite）再添一只有力臂膀。

新的云原生QRadar SIEM將在2023年第四季度作為SaaS面向市場，并計劃在2024年提供可用于內部部署和多云部署的軟件。

全面開放

基于紅帽OpenShift構建的 QRadar SIEM被設計為底層開放，能實現與多供應商工具和云的更深層次的互操作性。它利用開源和開放標準來實現包括檢測規則和搜索語言等核心功能，這也讓它能在企業更廣泛的安全和技術堆棧中運行。

利用安全社區檢測:利用通用的、共享的檢測規則語言(SIGMA)——隨著威脅情況的發展，允許客戶直接從安全社區快速導入新的、眾包的檢測。

跨數據源調查:提供基于開源技術的獨特的聯合搜索和威脅搜索功能，允許分析師以單一整合的方式主動搜索和調查云和內部部署的數據源中的威脅，而無需從原始數據源移動數據。

深度合作伙伴網絡:建立在QRadar生態系統之上，而QRadar生態系統是業內最大的安全合作伙伴網絡之一，擁有700多個預先構建的集成。

完整套件提供聯動、主動的安全響應

作為QRadar套件的一部分，新的云原生SIEM為客戶提供了廣泛的集成功能，可以跨工具集進行更主動的檢測、調查和響應。使用QRadar 套件，企業可以通過攻擊面管理(ASM)功能直觀了解被暴露的資產，跨工具集搜索威脅，使用EDR在端點進行保護，并連接到自動化指令集以加快響應(SOAR)。QRadar SIEM可為用戶提供跨核心工具集的共享見解和自動化操作，且是直接從其主用戶界面訪問，無需在工具之間切換。

企業級AI，加速對重大威脅的響應

QRadar SIEM應用多層級人工智能和自動化來提高警報質量和安全分析師效率。這些成熟的人工智能功能已經在IBM龐大的客戶網絡中進行了數百萬次警報預訓練，并在部署后得以進一步完善以適應不同客戶的獨特環境。例如:

減少噪音和改進警報:通過從持續的威脅情報和分析師響應模式中形成風險上下文，警報優先級功能使用人工智能，在自動降級低優先級警報的同時自動分組、上下文化和升級高優先級警報。該功能成功讓IBM咨詢的網絡安全服務為客戶自動化了85%的警報管理，并在應用的第一年就將威脅分類時間縮短了55%。

啟動調查:人工智能功能可自動在連接的系統上進行聯合搜索，生成可視化的攻擊時間表，MITRE ATT&CK 框架映射，以及行動建議，從而為分析師在調查任務中獲得重要先機。

自動更新檢測:QRadar SIEM的分析會根據新的檢測規則和威脅情報自動更新，以跟上不斷演化的威脅。

IBM的人工智能安全功能內嵌在QRadar 套件的分析師界面中，為分析師提供上下文洞察，并幫助他們在日常工作流程中更直觀地利用人工智能。

生成式人工智能提升SOC生產力

IBM還計劃在2024年初為QRadar套件發布基于IBM人工智能和數據平臺watsonx的生成式人工智能安全功能。IBM開發這一功能旨在優化安全團隊的時間和人才使用，例如幫助分析師管理某些繁瑣任務，同時也讓他們更好地執行更具挑戰性、更高價值的工作。包括:

自動創建報告:創建安全案例和事件的簡單摘要，可一鍵與各利益相關方共享。

加速威脅搜索:根據攻擊行為和模式的自然語言描述自動完成搜索以檢測威脅，這有助于加快對新威脅活動的響應。

解釋機器生成的數據:通過對系統安全事件提供簡單的解釋，幫助分析人員快速理解安全日志數據，從而降低技術障礙，加快調查速度。

管理威脅情報:解釋和總結高相關性的威脅情報，并根據客戶自身的風險概況，側重更有可能影響客戶的威脅。

IBM還在開發預測性生成式人工智能安全功能，經過訓練，該功能將可發起主動響應，并隨著時間推移而不斷優化，例如幫助安全團隊發現同類安全事件、更新受影響的系統和修補易受攻擊的代碼。

除了這些用例，IBM還計劃在其更多的安全軟件和服務中嵌入生成式人工智能。這些功能將充分利用watsonx基礎設施和watsonx人工智能模型，這些模型都在精心設計的特定領域的數據集上經過訓練，因此具備更高的可信任度、透明度和準確性。

審核編輯：湯梓紅