Новый пакет QRadar Security Suite для ускорения обнаружения и реагирования на угрозы
Модернизированный, унифицированный интерфейс упрощает аналитическое реагирование на весь жизненный цикл атаки Сложные возможности искусственного интеллекта и автоматизации ускоряют обработку предупреждений в среднем на 55%.
Поставляемый как облачная услуга или «on-premise», пакет IBM Security QRadar Suite построен на открытой основе и разработан специально для требований гибридного облака. Он имеет единый, модернизированный пользовательский интерфейс для всех продуктов, дополненный передовым искусственным интеллектом и автоматизацией, призванными расширить возможности аналитиков для более быстрой, эффективной и точной работы с основными инструментами.
Современные команды Security Operation Center (SOC) защищают быстро расширяющийся цифровой след Организаций, который теперь распространяется на гибридные облачные среды, что создает сложности и мешает успевать за ускоряющейся скоростью атак. Их работа может замедляться из-за трудоемких процессов расследования предупреждений и реагирования на них, ручной сборки информации и переключения между не связанными друг с другом данными, инструментами и интерфейсами. Согласно недавнему опросу, специалисты SOC тратят около трети своего дня на расследование и проверку инцидентов, которые не оказываются реальными угрозами*.
Опираясь на существующее лидерство компании в 12 категориях технологий безопасности* IBM перестроила свой лидирующий на рынке портфель решений для обнаружения угроз и реагирования на них, чтобы максимально повысить скорость и эффективность, а также удовлетворить особые потребности современных аналитиков по безопасности.
Новый пакет IBM Security QRadar Suite включает в себя EDR/XDR, SIEM, SOAR и новую облачную платформу управления журналами – все они построены на основе общего пользовательского интерфейса, общих знаний и связанных рабочих процессов, со следующими основными элементами дизайна:
- Единый опыт аналитика (Unified Analyst Experience): Разработанный в сотрудничестве с сотнями реальных пользователей, пакет имеет общий, модернизированный пользовательский интерфейс для всех продуктов, призванный значительно повысить скорость и эффективность аналитики по всей цепочке атак. В него встроен искусственный интеллект корпоративного уровня и возможности автоматизации, которые, как было показано, ускоряют расследование и сортировку предупреждений в среднем на 55% в течение первого года*. В настоящий момент представлен в облачном исполнении, до конца 2023 года, будет представлен для всех инсталляций.
- Облачная доставка, скорость и масштабирование: Продукты QRadar Suite, поставляемые в виде сервиса на Amazon Web Services (AWS), обеспечивают упрощенное развертывание, видимость и интеграцию в облачных средах и источниках данных. Пакет также включает новую, нативную для облака возможность управления журналами, оптимизированную для высокоэффективного ввода данных, быстрого поиска и аналитики в масштабе.
- Открытая Платформа, готовые интеграции: Пакет объединяет основные технологии, необходимые для обнаружения, расследования и реагирования на угрозы. Он построен на открытой основе, имеет обширную партнерскую экосистему и более 900 готовых интеграций, которые обеспечивают надежную совместимость между инструментами IBM и сторонних производителей.
“В условиях растущей поверхности атак и сокращающихся сроков их проведения скорость и эффективность являются основополагающими факторами успеха команд безопасности с ограниченными ресурсами”, – говорит Мэри О’Брайен, генеральный директор IBM Security. “IBM разработала новый пакет QRadar Suite на основе единого, модернизированного пользовательского интерфейса, оснащенного сложным искусственным интеллектом и автоматизацией, чтобы максимально повысить производительность аналитиков безопасности и ускорить их реагирование на каждом этапе цепочки атак”.
Совместные инновации для обеспечения безопасности в реальном мире
Пакет QRadar Suite является кульминацией многолетних инвестиций, приобретений и инноваций IBM в области обнаружения и реагирования на угрозы. Он включает десятки зрелых возможностей искусственного интеллекта и автоматизации, которые были усовершенствованы в течение долгого времени с помощью реальных пользователей и данных, включая участие в программе IBM Managed Security Service более чем 400 клиентов. В него также входят инновации, разработанные в сотрудничестве с IBM Research и сообществом специалистов по безопасности с открытым исходным кодом.
Эти возможности, основанные на искусственном интеллекте, значительно повышают скорость и точность операций SOC: например, IBM Managed Security Services позволила автоматизировать более 70% закрытия оповещений* и сократить сроки обработки оповещений в среднем на 55%* в течение первого года после внедрения.
Объединяя эти возможности через один интерфейс «Единый опыт аналитика», QRadar Suite автоматически контекстуализирует и приоритезирует предупреждения, отображает данные в визуальном формате для быстрого потребления, а также обеспечивает совместное понимание и автоматизированные рабочие процессы между продуктами. Такой подход позволяет значительно сократить количество шагов и экранов, необходимых для расследования и реагирования на угрозы. Примеры включают:
- Обработка оповещений с помощью ИИ: Автоматическое определение приоритетов или закрытие оповещений на основе анализа рисков с помощью ИИ, используя модели ИИ, обученные на предыдущих моделях реагирования аналитиков, а также внешние данные об угрозах из IBM X-Force и более широкие контекстные сведения из всех наборов инструментов обнаружения.
- Автоматизированное расследование угроз: Определяет высокоприоритетные инциденты, которые могут потребовать расследования, и автоматически инициирует расследование, получая связанные артефакты и собирая доказательства путем поиска данных в средах. Система использует эти результаты для создания временной шкалы и графика атак инцидента на основе структуры MITRE ATT&CK и рекомендует действия для ускорения реагирования.
- Ускоренная охота на угрозы: Использует язык поиска угроз с открытым исходным кодом (Kestrel Threat Hunting Language) и возможности объединенного поиска, чтобы помочь охотникам за угрозами обнаружить скрытые атаки и признаки компрометации в своих средах, не перемещая данные из их первоначального источника.
Помогая аналитикам реагировать быстрее и эффективнее, технологии QRadar также помогают командам безопасности повысить производительность и освободить время аналитиков для более важной работы.
Открытый, интегрированный и модернизированный комплекс безопасности
QRadar Suite использует открытые технологии и стандарты во всем портфеле, а также сотни готовых интеграций с партнерами по экосистеме IBM Security. Эта модель обеспечивает более глубокое совместное понимание и автоматизированные действия в сторонних облаках, точечных продуктах и озерах данных, что позволяет сократить время развертывания и интеграции с месяцев до дней или недель.
IBM QRadar Suite включает следующие основные продукты, изначально поставляемые в виде SaaS и обновленные с помощью нового унифицированного опыта аналитика:
- QRadar Log Insights: Новое облачное решение для управления журналами и наблюдения за безопасностью, обеспечивающее упрощенное получение данных, поиск в считанные секунды и быструю аналитику. Оно использует динамическое озеро данных безопасности, оптимизированное для сбора, хранения и анализа терабайтов данных с большей скоростью и эффективностью. Оно предназначено для экономически эффективного управления журналами безопасности наряду с единым федеративным поиском и ИИ-расследованиями.
- QRadar EDR и XDR: Помогает компаниям защитить свои конечные точки от ранее неизвестных угроз нулевого дня, используя автоматизацию и сотни моделей машинного обучения и поведенческих моделей для обнаружения поведенческих аномалий и реагирования на атаки практически в режиме реального времени. В нем используется уникальный подход, позволяющий контролировать операционные системы извне, что помогает избежать манипуляций или вмешательства со стороны противников. Для компаний, желающих расширить возможности обнаружения и реагирования за пределы конечной точки, IBM также предлагает XDR с корреляцией предупреждений, автоматизированным расследованием и рекомендованными ответными мерами в сети, облаке, электронной почте и т. д., а также инструменты для предоставления сервиса обнаружения и реагирования (MDR).
- QRadar SOAR: недавний обладатель награды Red Dot Design Award за интерфейс и пользовательский опыт, помогает организациям автоматизировать и оркестровать рабочие процессы реагирования на инциденты и обеспечить последовательное, оптимизированное и измеримое выполнение их конкретных процессов. Оно включает 300 готовых интеграций и предлагает готовые сценарии реагирования на 180+ глобальных нормативных актов, регулирующих нарушение конфиденциальности данных.
- QRadar SIEM: ведущая на рынке система QRadar SIEM от IBM была усовершенствована новым унифицированным интерфейсом аналитика (Unified Analyst Experience), который обеспечивает совместное понимание и рабочие процессы с более широким набором инструментов для операций безопасности. Он предлагает обнаружение в режиме реального времени, используя ИИ, аналитику поведения сети и пользователей, а также реальные данные об угрозах, созданные для предоставления аналитикам более точных, контекстуальных и приоритетных предупреждений. IBM также планирует сделать QRadar SIEM доступным в качестве сервиса на AWS к концу второго квартала 2023 года.
Сноски*:
- Based on IBM’s internal analysis of aggregated performance data observed from Managed Security Service engagements with 400+ clients from 2018-2019, which showed that average alert triage timeline was reduced by 55% during the first year using AI and automation capabilities that are now part of QRadar. Actual results will vary based on client configurations and conditions and, therefore, generally expected results cannot be provided.
- Global Security Operations Center Study Results, administered by Morning Consult and commissioned by IBM, March 2023. Based on responses from 1,000 surveyed security operation center professionals from 10 countries.
- Based on security product evaluations from external analyst firms including Gartner, IDC, Forrester, KuppingerCole and Omdia, which rank IBM as a leader in 12 security product categories: SIEM, SOAR, Fraud Reduction Intelligence Platform, Risk Based Authentication, Identity Governance and Administration, Access Management, Identity and Access Management as a Service, Access Governance & Intelligence and Identity Governance, Authentication, Customer Identity and Access Management, Data Security, Unified Endpoint Management.
- IBM Institute for Business Value report, “AI and automation for cybersecurity,” 2022. Results based on IBM analysis of aggregated annual performance data observed from hundreds of global clients using AI and automation capabilities that are now part of QRadar Suite. Actual results will vary based on client configurations and conditions and, therefore, generally expected results cannot be provided.
Автор:
Лебедев А.В.