近期,IBM推出了一款全新的安全产品套件,旨在提升安全分析师在整个安全事件处理过程中的体验,并加速其响应时间。IBM Security QRadar套件是QRadar品牌经过重要演变的旗舰产品,它整合了所有核心技术,专注于威胁检测、调查和响应,并进行了重大创新。
新的IBM Security QRadar套件包含EDR/XDR、SIEM、SOAR以及全新的云原生日志管理功能。所有这些组件都具备统一的用户界面、共享的威胁洞察及集成化的工作流程。
该套件建立在开放的基础上,专为混合云需求而设计。其用户界面针对现代化的安全运营中心(SOC)进行了优化,嵌入了先进的人工智能和自动化技术,帮助安全分析师高效利用现有工具,从而加快威胁分析的速度和准确性。
当前,安全运营团队面临着保护分布在混合云环境中的重要数据的挑战,复杂性和攻击速度均较以往有所增加,这使得他们常常处于疲于应对的状态。手动进行安全报警的调查和响应,会极大拖慢处理速度,需要不断在各种碎片化的信息与互不连接的数据、工具和接口之间切换。根据最新调查,安全运营专业人士表示,他们每天需花费约三分之一的时间来调查和验证那些最终被证明并非真实威胁的事件。
凭借在12个安全技术领域的领导地位,IBM重新设计并构建了其市场领先的威胁检测和响应产品组合,以提升速度和效率,满足当今安全分析师的特定需求。新的IBM Security QRadar套件具有以下核心设计元素:
• 统一的分析师体验:该套件通过与数百名全球用户的合作,提供了符合现代SOC需求的统一用户界面,从而显著提升分析师对攻击链的理解及分析效率。经过企业级人工智能和自动化功能的嵌入,已证明在使用第一年即可将警报调查和分类速度平均提高55%。
• 云交付、速度与扩展:QRadar套件在亚马逊网络服务(AWS)上作为服务交付,简化了跨云环境和数据源的部署,提高了可视性并增强了集成能力。该套件还引入了新的云原生日志管理能力,优化了数据采集、快速搜索及大规模分析。
• 开放基础、预置集成:该套件整合了威胁检测、调查和响应所需的核心技术,提供开放性,内置900多项与广泛合作伙伴生态系统的集成功能,确保IBM与第三方工具之间的强大互操作性。
QRadar套件是IBM多年来在威胁检测和响应领域的投资、收购及创新的结晶,集成了数十种成熟的人工智能和自动化功能。这些功能经过与IBM托管安全服务的400多个客户的共同合作,已根据实际用户和数据的需求进行了持续改进,同时也包括与IBM Research和开源安全社区的合作成果。
这些基于人工智能的功能已被证明可以显著提高安全运营团队的操作速度与准确性。例如,IBM托管安全服务能够自动化70%以上的警报清除,并在实施的第一年内将警报分类时间平均减少55%。
通过统一的分析师体验,QRadar套件将这些功能整合在一起,能自动对警报进行上下文化和优先级排序,以可视化方式展示数据,便于快速使用,并在产品间提供共享的洞察及自动化工作流程。这一方法显著减少了调查和响应威胁所需的步骤和屏幕数量。例如:
• 人工智能驱动的警报分类:利用经过先前分析师响应模式训练的人工智能模型、来自IBM X-Force的外部威胁情报以及来自各检测工具集的更广泛上下文洞察,自动确定警报的优先级或关闭警报。
• 自动威胁调查:系统识别出可能需要调查的高优先级事件,并通过跨环境的数据挖掘获取相关组件和证据,自动启动调查。系统基于这些结果生成基于MITRE ATT&CK框架的事件时间表和攻击图,并提供建议以提升响应速度。
• 加速威胁搜索:利用开源威胁搜索语言和联合搜索功能,帮助威胁搜索者在其环境中发现隐形攻击和危害指标,无需从原始来源转移数据。
通过帮助分析师更快、更有效地响应,QRadar技术也能提升安全团队的生产力,为分析师留出更多时间从事更高价值的工作。QRadar套件整合了整个产品组合中的开放技术与标准,并与IBM Security生态系统合作伙伴共同构建了数百个预置集成。这一模型支持跨第三方云、点产品和数据湖的深入共享洞察与自动化操作,将部署和集成时间从数月缩短至数天或数周。
IBM QRadar套件最初以SaaS形式交付,并随着新的统一分析师体验的更新而增强。其核心产品包括:
• QRadar Log Insights:一种新的云原生日志管理和安全观察解决方案,提供简化的数据采集、亚秒级搜索和快速分析。它利用优化且富有弹性的安全数据湖,以更高效的速度和能力收集、存储并执行对TB级数据的分析,旨在实现经济高效的安全日志管理及联合搜索与调查。
• QRadar EDR和XDR:帮助企业保护端点免受未知的零日威胁,使用自动化及数百种机器学习和行为模型来检测行为异常,并近乎实时地响应攻击。其独特的方法从外部监视操作系统,避免了攻击方的操控或干扰。对于希望将检测与响应功能扩展到端点之外的企业,IBM还提供了具有警报相关性、自动调查及跨网络、云、电子邮件等推荐响应的XDR,以及托管检测和响应(MDR)服务。
• QRadar SOAR:最近获得红点设计奖的产品,旨在通过界面和用户体验帮助企业自动化和统一协调安全事件响应工作流,确保以一致、优化和可测量的方式遵循特定流程。QRadar SOAR包括300个预先构建的集成,提供应对180多个全球数据泄露和隐私相关法规的指导。
• QRadar SIEM:IBM市场领先的QRadar SIEM通过新的统一分析师界面进行了提升,提供共享的安全洞察和工作流程及更广泛的安全操作工具集。它实现实时检测,利用人工智能、网络和用户行为分析,以及真实世界的威胁情报,为分析师提供更准确、情境化和优先级的警报。IBM计划在2023年第二季度末在AWS上正式上线QRadar SIEM服务。
