新的套件統(tǒng)一的現(xiàn)代化界面讓分析師在整個(gè)攻擊周期中的響應(yīng)得到簡化；先進(jìn)的人工智能和自動(dòng)化功能將警報(bào)分類速度平均提高了 55%。

近日，IBM 發(fā)布了新的安全產(chǎn)品套件，該套件旨在統(tǒng)一整個(gè)安全事件過程中安全分析師的體驗(yàn)及加速其響應(yīng)速度。IBM Security QRadar 套件 (IBM Security QRadar Suite) 是 QRadar 品牌經(jīng)過重要演變和擴(kuò)展后的代表性產(chǎn)品，其涵蓋了所有威脅檢測、調(diào)查和響應(yīng)的核心技術(shù)，并對(duì)整個(gè)產(chǎn)品組合進(jìn)行了重大創(chuàng)新。

新的 IBM Security QRadar 套件包括 EDR/XDR、SIEM、SOAR 和一個(gè)新的云原生日志管理功能，所有這些組件都具備以下的共性，統(tǒng)一的用戶界面、共享的威脅洞察和集成化的工作流程。

IBM Security QRadar 套件構(gòu)建在一個(gè)開放的基礎(chǔ)上，專為滿足混合云的需求而設(shè)計(jì)。它具有跨所有產(chǎn)品的統(tǒng)一的、針對(duì)現(xiàn)代化 SOC 設(shè)計(jì)的用戶界面——嵌入了先進(jìn)的人工智能和自動(dòng)化技術(shù)，旨在使安全分析師能夠高效利用現(xiàn)有工具集，以更快的速度，提升威脅分析的效率和精準(zhǔn)度。

當(dāng)今，安全運(yùn)營團(tuán)隊(duì)需要保護(hù)分布在混合云環(huán)境中的重要數(shù)據(jù)，相比以往復(fù)雜度更高，攻擊的速度也越來越快，始終處在疲于招架的狀態(tài)。手工進(jìn)行安全報(bào)警調(diào)查和響應(yīng)，會(huì)嚴(yán)重拖慢整個(gè)過程，需要手動(dòng)將各種碎片化的信息組織在一起，并在互不連接的數(shù)據(jù)、工具和接口之間進(jìn)行切換。根據(jù)最近的一項(xiàng)調(diào)查，安全運(yùn)營專業(yè)人士表示，他們每天需花大約三分之一的時(shí)間來調(diào)查和驗(yàn)證那些最終被證明并非真正威脅的事件。

基于 IBM 在 12 個(gè)安全技術(shù)領(lǐng)域中的領(lǐng)導(dǎo)地位，IBM 重新設(shè)計(jì)并構(gòu)建了其市場領(lǐng)先的威脅檢測和響應(yīng)產(chǎn)品組合，以最大限度地提高速度和效率，并滿足當(dāng)今安全分析師的特定需求。新的 IBM Security QRadar 套件具有以下核心設(shè)計(jì)元素:

統(tǒng)一的分析師體驗(yàn)：通過與數(shù)百個(gè)全球的用戶協(xié)作，聽取他們的改進(jìn)意見，該套件在所有產(chǎn)品組件中均提供了統(tǒng)一的、基于現(xiàn)代化 SOC 所需的用戶界面，旨在顯著提高分析師對(duì)攻擊鏈的理解速度和分析效率。嵌入了企業(yè)級(jí)人工智能和自動(dòng)化功能，已被證明能在使用的第一年就將警報(bào)調(diào)查和分類速度平均提高 55%。

云交付、速度和擴(kuò)展：QRadar 套件產(chǎn)品在亞馬遜網(wǎng)絡(luò)服務(wù) (AWS) 上作為服務(wù)交付，可以實(shí)現(xiàn)跨云環(huán)境和跨數(shù)據(jù)源的簡化部署、提高可視性，增強(qiáng)集成能力。該套件還包括一個(gè)新的云原生日志管理能力，針對(duì)高效的數(shù)據(jù)采集、快速搜索和大規(guī)模分析進(jìn)行了優(yōu)化。

開放基礎(chǔ)、預(yù)置集成：該套件匯集了威脅檢測、調(diào)查和響應(yīng)所需的核心技術(shù)，提供開放性，預(yù)置 900 多項(xiàng)內(nèi)置與廣泛的合作伙伴生態(tài)系統(tǒng)集成的能力，從而實(shí)現(xiàn)在 IBM 和第三方工具集之間提供強(qiáng)大的互操作性。

IBM Security 總經(jīng)理 Mary O'Brien表示：“面對(duì)越來越多的攻擊面和越來越緊縮的攻擊響應(yīng)時(shí)間，速度和效率是資源有限的安全團(tuán)隊(duì)成功的基礎(chǔ)。IBM 圍繞統(tǒng)一的現(xiàn)代化用戶體驗(yàn)設(shè)計(jì)了新的 QRadar 套件，嵌入了復(fù)雜的人工智能和自動(dòng)化，以最大限度地提高安全分析師們的生產(chǎn)力，加速他們對(duì)攻擊鏈每個(gè)步驟的響應(yīng)。”

面向真實(shí)世界安全需求的協(xié)同創(chuàng)新

QRadar 套件是 IBM 多年來在威脅檢測和響應(yīng)方面的投資、收購和創(chuàng)新的結(jié)晶。它具有數(shù)十種成熟的人工智能和自動(dòng)化功能，這些功能隨著時(shí)間的推移已經(jīng)根據(jù)現(xiàn)實(shí)世界的用戶和數(shù)據(jù)進(jìn)行了改進(jìn)，包括與IBM托管安全服務(wù)的 400 多個(gè)客戶進(jìn)行合作。它還包括與 IBM Research 和開源安全社區(qū)共同合作的創(chuàng)新成果。

這些基于人工智能的功能已被證明可以顯著提高安全運(yùn)營團(tuán)隊(duì)操作的速度和準(zhǔn)確性：例如，允許 IBM 托管安全服務(wù)自動(dòng)化 70% 以上的警報(bào)清除，并在實(shí)施的第一年將警報(bào)分類時(shí)間平均減少 55%。

通過統(tǒng)一的分析師體驗(yàn)，QRadar 套件將這些功能整合在一起，自動(dòng)地對(duì)警報(bào)進(jìn)行上下文化和優(yōu)先級(jí)排序，以可視化形式顯示數(shù)據(jù)以供快速使用，并在產(chǎn)品之間提供共享的洞見和自動(dòng)化工作流程。這種方法可以大大減少調(diào)查和響應(yīng)威脅所需的步驟和屏幕數(shù)量。例如:

人工智能警報(bào)分類：人工智能驅(qū)動(dòng)的風(fēng)險(xiǎn)分析使用經(jīng)過先前分析師響應(yīng)模式訓(xùn)練的人工智能模型、來自 IBM X-Force 的外部威脅情報(bào)和來自各檢測工具集的更廣泛的上下文洞察，自動(dòng)確定警報(bào)的優(yōu)先級(jí)或關(guān)閉警報(bào)。

自動(dòng)威脅調(diào)查：識(shí)別可能需要調(diào)查的高優(yōu)先級(jí)事件，并通過跨環(huán)境的數(shù)據(jù)挖掘獲取相關(guān)組件和收集證據(jù)來自動(dòng)啟動(dòng)調(diào)查。系統(tǒng)使用這些結(jié)果生成基于 MITRE ATT&CK 框架的事件時(shí)間表和攻擊圖，并建議采取行動(dòng)以加快響應(yīng)速度。

加速威脅搜尋：使用開源威脅搜尋語言和聯(lián)合搜索功能，幫助威脅搜尋者在其環(huán)境中發(fā)現(xiàn)隱形攻擊和危害指標(biāo)，而無需從原始來源中移動(dòng)數(shù)據(jù)。

通過幫助分析師更快、更有效地響應(yīng)，QRadar 技術(shù)還可以幫助安全團(tuán)隊(duì)提高生產(chǎn)力，并為分析師騰出時(shí)間從事更高價(jià)值的工作。

開放，連接和現(xiàn)代化的安全產(chǎn)品套件

QRadar 套件充分利用了整個(gè)產(chǎn)品組合中的開放技術(shù)和標(biāo)準(zhǔn)，以及與 IBM Security 生態(tài)系統(tǒng)合作伙伴構(gòu)建的數(shù)百個(gè)預(yù)置集成。該模型支持跨第三方云、點(diǎn)產(chǎn)品和數(shù)據(jù)湖進(jìn)行更深入的共享洞察和自動(dòng)化操作，從而將部署和集成時(shí)間從數(shù)月縮短到數(shù)天或數(shù)周。

IBM QRadar 套件最初作為 SaaS 交付，并隨著新的統(tǒng)一的分析師體驗(yàn)而更新。它包括以下核心產(chǎn)品：

QRadar Log Insights：一種新的云原生日志管理和安全觀察解決方案，提供簡化的數(shù)據(jù)采集、亞秒級(jí)搜索和快速分析。它利用經(jīng)過優(yōu)化的、富有彈性的安全數(shù)據(jù)湖，以更快的速度和效率收集、存儲(chǔ)和執(zhí)行對(duì) TB 級(jí)數(shù)據(jù)的分析。它是為經(jīng)濟(jì)有效的安全日志管理以及聯(lián)合搜索和調(diào)查而設(shè)計(jì)的。

QRadar EDR 和 XDR：幫助企業(yè)保護(hù)其端點(diǎn)免受此前未知的零日威脅——其使用自動(dòng)化和數(shù)百種機(jī)器學(xué)習(xí)和行為模型來檢測行為異常并近乎實(shí)時(shí)地響應(yīng)攻擊。它利用獨(dú)特的方法從外部監(jiān)視操作系統(tǒng)，幫助避免攻擊方的操縱或干擾。對(duì)于希望將檢測和響應(yīng)功能擴(kuò)展到端點(diǎn)之外的公司，IBM 還提供了具有警報(bào)相關(guān)性、自動(dòng)調(diào)查和跨網(wǎng)絡(luò)、云、電子郵件等推薦響應(yīng)的 XDR，以及托管檢測和響應(yīng) (MDR)。

QRadar SOAR：最近獲得紅點(diǎn)設(shè)計(jì)獎(jiǎng) (Red Dot Design Award) 的產(chǎn)品。為界面和用戶體驗(yàn)而設(shè)計(jì)：旨在幫助企業(yè)對(duì)安全事件響應(yīng)工作流進(jìn)行自動(dòng)化和統(tǒng)一協(xié)調(diào)，確保以一致、優(yōu)化和可測量的方式遵循它們特定的流程。Qradar SOAR 包括 300 個(gè)預(yù)先構(gòu)建的集成，并提供了應(yīng)對(duì) 180 多個(gè)全球數(shù)據(jù)泄露和隱私相關(guān)法規(guī)的指引。

QRadar SIEM: IBM 市場領(lǐng)先的 QRadar SIEM 通過新的統(tǒng)一分析師界面進(jìn)行了提升，該界面提供了共享的安全洞見和工作流程以及更廣泛的安全操作工具集。它提供實(shí)時(shí)檢測，利用人工智能，網(wǎng)絡(luò)和用戶行為分析，以及真實(shí)世界的威脅情報(bào)，為分析師提供更準(zhǔn)確，情境化和優(yōu)先級(jí)的警報(bào)。IBM 計(jì)劃在 2023 年二季度末在 AWS 上上線 QRadar SIEM 服務(wù)。

IBM Security QRadar 套件現(xiàn)可通過個(gè)人 SaaS 產(chǎn)品獲取。

關(guān)于IBM Security

IBM Security 通過融入動(dòng)態(tài)人工智能和自動(dòng)化功能的集成式安全產(chǎn)品和服務(wù)組合，幫助全球大型企業(yè)和政府組織保護(hù)自身安全。該產(chǎn)品組合由世界知名的 IBM Security X-Force研究支持，使組織能夠預(yù)測威脅，在數(shù)據(jù)移動(dòng)時(shí)保護(hù)數(shù)據(jù)，并在不妨礙業(yè)務(wù)創(chuàng)新的情況下快速準(zhǔn)確地響應(yīng)。成千上萬的組織將 IBM 作為評(píng)估、制定戰(zhàn)略、實(shí)現(xiàn)和管理安全轉(zhuǎn)型的可靠合作伙伴。IBM 運(yùn)營著世界上范圍最廣的安全研究、開發(fā)和交付組織之一，對(duì)每天發(fā)生于 130 多個(gè)國家的超 1500 億個(gè)安全事件進(jìn)行實(shí)時(shí)監(jiān)控，并在全球范圍內(nèi)獲得了 10000 多項(xiàng)安全相關(guān)專利。

關(guān)于 IBM

IBM 是全球領(lǐng)先的混合云、人工智能及企業(yè)服務(wù)提供商，幫助超過 175 個(gè)國家和地區(qū)的客戶，從其擁有的數(shù)據(jù)中獲取商業(yè)洞察，簡化業(yè)務(wù)流程，降低成本，并獲得行業(yè)競爭優(yōu)勢。金融服務(wù)、電信和醫(yī)療健康等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的超過 4000 家政府和企業(yè)實(shí)體依靠 IBM 混合云平臺(tái)和紅帽 OpenShift 快速、高效、安全地實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型。IBM 在人工智能、量子計(jì)算、行業(yè)云解決方案和企業(yè)服務(wù)方面的突破性創(chuàng)新為我們的客戶提供了開放和靈活的選擇。對(duì)企業(yè)誠信、透明治理、社會(huì)責(zé)任、包容文化和服務(wù)精神的長期承諾是 IBM 業(yè)務(wù)發(fā)展的基石。

審核編輯：湯梓紅