【TechWeb】7月27日消息,近日IBM发布了新的安全产品套件,该套件旨在统一整个安全事件过程中安全分析师的体验及加速其响应速度。IBM Security QRadar套件(IBM Security QRadar Suite)是QRadar品牌经过重要演变和扩展后的代表性产品,其涵盖了所有威胁检测、调查和响应的核心技术,并对整个产品组合进行了重大创新。 新的IBM Security QRadar套件包括EDR/XDR、SIEM、SOAR和一个新的云原生日志管理功能,所有这些组件都具备以下的共性,统一的用户界面、共享的威胁洞察和集成化的工作流程。 IBM Security QRadar 套件构建在一个开放的基础上,专为满足混合云的需求而设计。它具有跨所有产品的统一的、针对现代化SOC设计的用户界面——嵌入了先进的人工智能和自动化技术,旨在使安全分析师能够高效利用现有工具集,以更快的速度,提升威胁分析的效率和精准度。 当今,安全运营团队需要保护分布在混合云环境中的重要数据,相比以往复杂度更高,攻击的速度也越来越快,始终处在疲于招架的状态。手工进行安全报警调查和响应,会严重拖慢整个过程,需要手动将各种碎片化的信息组织在一起,并在互不连接的数据、工具和接口之间进行切换。根据最近的一项调查,安全运营专业人士表示,他们每天需花大约三分之一的时间来调查和验证那些最终被证明并非真正威胁的事件。 基于IBM在12个安全技术领域中的领导地位,IBM重新设计并构建了其市场领先的威胁检测和响应产品组合,以最大限度地提高速度和效率,并满足当今安全分析师的特定需求。新的IBM Security QRadar套件具有以下核心设计元素: • 统一的分析师体验:通过与数百个全球的用户协作,听取他们的改进意见,该套件在所有产品组件中均提供了统一的、基于现代化SOC所需的用户界面,旨在显著提高分析师对攻击链的理解速度和分析效率。嵌入了企业级人工智能和自动化功能,已被证明能在使用的第一年就将警报调查和分类速度平均提高55%。 • 云交付、速度和扩展:QRadar 套件产品在亚马逊网络服务(AWS)上作为服务交付,可以实现跨云环境和跨数据源的简化部署、提高可视性,增强集成能力。该套件还包括一个新的云原生日志管理能力,针对高效的数据采集、快速搜索和大规模分析进行了优化。 • 开放基础、预置集成:该套件汇集了威胁检测、调查和响应所需的核心技术,提供开放性,预置900多项内置与广泛的合作伙伴生态系统集成的能力,从而实现在IBM和第三方工具集之间提供强大的互操作性。 QRadar套件是IBM多年来在威胁检测和响应方面的投资、收购和创新的结晶。它具有数十种成熟的人工智能和自动化功能,这些功能随着时间的推移已经根据现实世界的用户和数据进行了改进,包括与IBM托管安全服务的400多个客户进行合作。它还包括与IBM Research和开源安全社区共同合作的创新成果。 这些基于人工智能的功能已被证明可以显著提高安全运营团队操作的速度和准确性:例如,允许IBM托管安全服务自动化70%以上的警报清除,并在实施的第一年将警报分类时间平均减少55%。 通过统一的分析师体验,QRadar 套件将这些功能整合在一起,自动地对警报进行上下文化和优先级排序,以可视化形式显示数据以供快速使用,并在产品之间提供共享的洞见和自动化工作流程。这种方法可以大大减少调查和响应威胁所需的步骤和屏幕数量。例如: • 人工智能警报分类:人工智能驱动的风险分析使用经过先前分析师响应模式训练的人工智能模型、来自IBM X-Force的外部威胁情报和来自各检测工具集的更广泛的上下文洞察,自动确定警报的优先级或关闭警报。 • 自动威胁调查:识别可能需要调查的高优先级事件,并通过跨环境的数据挖掘获取相关组件和收集证据来自动启动调查。系统使用这些结果生成基于MITRE ATT&CK框架的事件时间表和攻击图,并建议采取行动以加快响应速度。 • 加速威胁搜寻:使用开源威胁搜寻语言和联合搜索功能,帮助威胁搜寻者在其环境中发现隐形攻击和危害指标,而无需从原始来源中移动数据。 通过帮助分析师更快、更有效地响应,QRadar技术还可以帮助安全团队提高生产力,并为分析师腾出时间从事更高价值的工作。 IBM QRadar套件最初作为SaaS交付,并随着新的统一的分析师体验而更新。它包括以下核心产品: |