IBM 推出云原生 SIEM：让安全分析师和人工智能更有效地并肩工作

　　除了宣布正式启动价值 5 亿美元的风险投资基金外，IBM今日还宣布，其旗舰产品 IBM QRadarSIEM将经历重大演变：基于全新的云原生架构进行重设计，专门为混合云的规模、速度和灵活性而构建。IBM 还揭露了其在威胁检测和响应产品组合中引入由企业级数据和 AI 平台 watsonx 支持的生成式 AI 功能的计划。

　　在当今不断演进和扩展的混合云环境中，保护更广泛、更复杂的攻击面是一项挑战。这种不断增长的 IT 足迹使得安全团队更难在海量的信息中迅速找到真正的威胁，由于技术孤岛、手动搜索和警报过载而导致进程缓慢，且缺乏清晰的上下文或可视化。实际上，根据最近的全球调查，安全运营中心(SOC)专业人员在典型工作日内只能处理不到一半(49%)的应检查警报。

　　新的云原生 QRadar SIEM 旨在最大化当今安全团队的能力。它旨在通过 AI 增强和提升安全分析师的日常工作，管理耗时和重复的任务，同时使安全分析师能够更有效地找到和响应高优先级的安全事件。

　　IBM Security 策略与产品管理副总裁 Kevin Skapinetz 表示：「我们的新云原生 SIEM 是 IBM 迈向混合云和 AI 时代下一代安全运营的核心元素。我们设计的技术不是迫使分析师适应安全技术的复杂性，而是去除这种复杂性——筛除噪音，简化用户体验，并赋予分析师以更快速和自信地处理紧急威胁的能力。」

　　IBM 的云原生 SIEM 在 QRadar 13 年市场领导地位和分析师认可的深度安全分析基础上构建，采用重新设计的架构，实现高效的数据摄取、快速搜索和大规模分析。基于开放的基础，它是 QRadar Suite 的最新补充，这是 IBM 集成的威胁检测和响应软件组合。

　　新的云原生 QRadar SIEM 将于 2023 年第四季度作为 SaaS 普遍可用，计划在 2024 年提供适用于本地部署和多云部署的软件。

　　核心开放

　　基于 Red Hat OpenShift 构建的 QRadar SIEM 在基础层面上被设计为开放性的——允许与多厂商工具和云服务更深入地互操作。它利用开源和开放标准进行核心功能，包括检测规则和搜索语言——使其能够跨公司更广泛的安全和技术栈工作。

　　连接、主动的安全响应全套解决方案

　　作为 QRadar Suite 的一部分，新的云原生 SIEM 为客户提供了一系列集成的功能，

　　这些功能可以实现更主动的检测、调查和跨工具集的响应。借助 QRadar Suite，组织可以通过攻击面管理(ASM)功能获得其暴露资产的可见性，跨工具集搜索威胁，在终端进行 EDR 保护，并连接到自动化剧本以加速响应(SOAR)。QRadar SIEM 通过其核心工具集提供共享见解和自动化操作——直接从其主用户界面访问，无需在工具之间切换。

　　企业级 AI 加速应对关键威胁

　　QRadar SIEM 应用了多层 AI 和自动化，以提高警报的质量和安全分析师的效率。这些成熟的 AI 能力已在 IBM 庞大的客户网络上预训练了数百万警报，并在部署后进一步优化，以适应每个客户的独特环境。

　　生成式 AI 提高 SOC 生产力

　　IBM 还计划在 2024 年初为 QRadar Suite 发布生成式 AI(GAI)安全能力——基于公司的 AI 和数据平台 watsonx 构建。IBM 正在设计 GAI 以帮助优化安全团队的时间和才能，代表分析师管理某些繁琐任务的同时，也使他们更容易执行更具挑战性、更高价值的工作。