加速威胁检测和响应 IBM推出新QRadar安全套件

【】7月27日消息，近日IBM发布了新的安全产品套件，该套件旨在统一整个安全事件过程中安全分析师的体验及加速其响应速度。IBM Security QRadar套件（IBM Security QRadar Suite）是QRadar品牌经过重要演变和扩展后的代表性产品，其涵盖了所有威胁检测、调查和响应的核心技术，并对整个产品组合进行了重大创新。

新的IBM Security QRadar套件包括EDR/XDR、SIEM、SOAR和一个新的云原生日志管理功能，所有这些组件都具备以下的共性，统一的用户界面、共享的威胁洞察和集成化的工作流程。

IBM Security QRadar 套件构建在一个开放的基础上，专为满足混合云的需求而设计。它具有跨所有产品的统一的、针对现代化SOC设计的用户界面——嵌入了先进的人工智能和自动化技术，旨在使安全分析师能够高效利用现有工具集，以更快的速度，提升威胁分析的效率和精准度。

当今，安全运营团队需要保护分布在混合云环境中的重要数据，相比以往复杂度更高，攻击的速度也越来越快，始终处在疲于招架的状态。手工进行安全报警调查和响应，会严重拖慢整个过程，需要手动将各种碎片化的信息组织在一起，并在互不连接的数据、工具和接口之间进行切换。根据最近的一项调查，安全运营专业人士表示，他们每天需花大约三分之一的时间来调查和验证那些最终被证明并非真正威胁的事件。

基于IBM在12个安全技术领域中的领导地位，IBM重新设计并构建了其市场领先的威胁检测和响应产品组合，以最大限度地提高速度和效率，并满足当今安全分析师的特定需求。新的IBM Security QRadar套件具有以下核心设计元素:

• 统一的分析师体验：通过与数百个全球的用户协作，听取他们的改进意见，该套件在所有产品组件中均提供了统一的、基于现代化SOC所需的用户界面，旨在显著提高分析师对攻击链的理解速度和分析效率。嵌入了企业级人工智能和自动化功能，已被证明能在使用的第一年就将警报调查和分类速度平均提高55%。

• 云交付、速度和扩展：QRadar 套件产品在亚马逊网络服务(AWS)上作为服务交付，可以实现跨云环境和跨数据源的简化部署、提高可视性，增强集成能力。该套件还包括一个新的云原生日志管理能力，针对高效的数据采集、快速搜索和大规模分析进行了优化。

• 开放基础、预置集成：该套件汇集了威胁检测、调查和响应所需的核心技术，提供开放性，预置900多项内置与广泛的合作伙伴生态系统集成的能力，从而实现在IBM和第三方工具集之间提供强大的互操作性。

QRadar套件是IBM多年来在威胁检测和响应方面的投资、收购和创新的结晶。它具有数十种成熟的人工智能和自动化功能，这些功能随着时间的推移已经根据现实世界的用户和数据进行了改进，包括与IBM托管安全服务的400多个客户进行合作。它还包括与IBM Research和开源安全社区共同合作的创新成果。

这些基于人工智能的功能已被证明可以显著提高安全运营团队操作的速度和准确性：例如，允许IBM托管安全服务自动化70%以上的警报清除，并在实施的第一年将警报分类时间平均减少55%。

通过统一的分析师体验，QRadar 套件将这些功能整合在一起，自动地对警报进行上下文化和优先级排序，以可视化形式显示数据以供快速使用，并在产品之间提供共享的洞见和自动化工作流程。这种方法可以大大减少调查和响应威胁所需的步骤和屏幕数量。例如:

• 人工智能警报分类：人工智能驱动的风险分析使用经过先前分析师响应模式训练的人工智能模型、来自IBM X-Force的外部威胁情报和来自各检测工具集的更广泛的上下文洞察，自动确定警报的优先级或关闭警报。

• 自动威胁调查：识别可能需要调查的高优先级事件，并通过跨环境的数据挖掘获取相关组件和收集证据来自动启动调查。系统使用这些结果生成基于MITRE ATT&CK框架的事件时间表和攻击图，并建议采取行动以加快响应速度。

• 加速威胁搜寻：使用开源威胁搜寻语言和联合搜索功能，帮助威胁搜寻者在其环境中发现隐形攻击和危害指标，而无需从原始来源中移动数据。

通过帮助分析师更快、更有效地响应，QRadar技术还可以帮助安全团队提高生产力，并为分析师腾出时间从事更高价值的工作。QRadar套件充分利用了整个产品组合中的开放技术和标准，以及与IBM Security生态系统合作伙伴构建的数百个预置集成。该模型支持跨第三方云、点产品和数据湖进行更深入的共享洞察和自动化操作，从而将部署和集成时间从数月缩短到数天或数周。

IBM QRadar套件最初作为SaaS交付，并随着新的统一的分析师体验而更新。它包括以下核心产品：

• QRadar Log Insights：一种新的云原生日志管理和安全观察解决方案，提供简化的数据采集、亚秒级搜索和快速分析。它利用经过优化的、富有弹性的安全数据湖，以更快的速度和效率收集、存储和执行对TB级数据的分析。它是为经济有效的安全日志管理以及联合搜索和调查而设计的。

• QRadar EDR和XDR：帮助企业保护其端点免受此前未知的零日威胁——其使用自动化和数百种机器学习和行为模型来检测行为异常并近乎实时地响应攻击。它利用独特的方法从外部监视操作系统，帮助避免攻击方的操纵或干扰。对于希望将检测和响应功能扩展到端点之外的公司，IBM还提供了具有警报相关性、自动调查和跨网络、云、电子邮件等推荐响应的XDR，以及托管检测和响应(MDR)。

• QRadar SOAR：最近获得红点设计奖（Red Dot Design Award）的产品。为界面和用户体验而设计：旨在帮助企业对安全事件响应工作流进行自动化和统一协调，确保以一致、优化和可测量的方式遵循它们特定的流程。Qradar SOAR包括300个预先构建的集成，并提供了应对180多个全球数据泄露和隐私相关法规的指引。

• QRadar SIEM: IBM市场领先的QRadar SIEM通过新的统一分析师界面进行了提升，该界面提供了共享的安全洞见和工作流程以及更广泛的安全操作工具集。它提供实时检测，利用人工智能，网络和用户行为分析，以及真实世界的威胁情报，为分析师提供更准确，情境化和优先级的警报。IBM计划在2023年二季度末在AWS上上线QRadar SIEM服务。