IBM в 14-й раз подряд признана лидером в магическом квадранте Gartner для SIEM
Операции по обеспечению безопасности становятся все более сложными и неэффективными из-за слишком большого количества инструментов, слишком большого объема данных и просто слишком большого объема работы.
Согласно исследованию, проведенному IBM, члены команды SOC способны обрабатывать только половину предупреждений, которые они должны проверять в течение обычного рабочего дня. Это потенциально может привести к пропуску важных оповещений, которые имеют решающее значение для безопасности организации. Таким образом, правильный выбор SIEM-решения может кардинально изменить работу служб безопасности, помогая им управлять оповещениями и более эффективно масштабировать SOC.
Вот почему мы рады сообщить, что компания Gartner в 14-й раз подряд признала IBM лидером в Магическом квадранте для SIEM. Это произошло вслед за признанием IBM лидером в компасе лидерства Kuppingerда не Cole для интеллектуальных платформ SIEM.
Не все SIEM созданы равными
Gartner признает, что SIEM превратилась из простого решения для обнаружения угроз в комплексную платформу для управления угрозами. В частности, Gartner пишет: “SIEM превратилась в платформу безопасности с множеством функций и моделей развертывания, позволяющую создать систему учета безопасности с комплексными возможностями обнаружения угроз, расследования и реагирования”. Ключевым моментом, который следует подчеркнуть, является то, что возможности обнаружения угроз, расследования и реагирования на них встроены в единое решение. Именно для этого IBM на протяжении многих лет создавала QRadar SIEM.
IBM Security QRadar SIEM является частью пакета QRadar Suite, который предоставляет собой пакет on-premise решений, взаимно интегрируемых между собой SOAR, EDR и SIEM или разворачиваемый в виде единой консоли для более быстрого обнаружения угроз и реагирования на них, что призвано помочь командам безопасности быстро обнаружить и перехитрить угрозы.
Рисунок 1: Gartner, Magic Quadrant for Security Information and Event Management, Эндрю Дэвис, Митчелл Шнайдер, 8 мая 2024 г.
IBM QRadar SIEM, признанная лидером в Gartner Magic Quadrant for SIEM, создана для максимального использования возможностей современных служб безопасности. Она предназначена для расширения и повышения уровня повседневной работы аналитиков безопасности, используя искусственный интеллект для управления трудоемкими и повторяющимися задачами, а также позволяя аналитикам безопасности более эффективно выявлять инциденты безопасности с высоким приоритетом и реагировать на них.
В настоящий момент, IBM QRadar SIEM сократился до классической, on-prem SIEM. Выбирайте классическую SIEM, если большая часть ваших рабочих нагрузок приходится на локальную инфраструктуру, и вам нужно решение, дополняющее вашу локальную инфраструктуру.
Основные ценности on-prem IBM QRadar SIEM для компании:
| Действие | Результат | Эффект |
| Сбор событий и сетевых потоков с инфраструктуры Организации | Специалист может организовать подключение к Системе все важные ресурсы и активы | Нет нужды проверять каждую систему или устройство отдельно на то или иное событие |
| Организация хранения всех событий и сетевых потоков | Система хранит все данные в себе безотносительно с настройками в подключенных активах и устройствах. Система устраняет риск потери важных событий с активов инфраструктуры
Построение «Security Data lake» |
Централизованное хранение данных с подключенных источников. Система хранит полученные данные в исходном виде, обеспечивает целостность хранимых данных, осуществляет компрессию хранимых данных.
В зависимости от выделенных ресурсов, Система может надёжно хранить любое количество полученных данных. Специалист может настраивать хранение, согласно различным критериям |
| Мониторинг событий с инфраструктуры Организации | Специалист централизованно наблюдает всё, что происходит с активами инфраструктуры | Система позволяет осуществлять мониторинг событий, которые отвечают за функционирование критичных сервисов и своевременно устранять ошибки и сбои |
| Мониторинг сетевых потоков внутри инфраструктуры Организации | Специалист централизованно наблюдает всё, что происходит с сетевыми устройствами инфраструктуры | Система позволяет осуществлять мониторинг критичных сетевых устройств и своевременно устранять сбои |
| Мониторинг угроз информационной безопасности внутри инфраструктуры Организации | Специалист централизованно наблюдает за инфраструктурой и готов в любой момент запустить процесс реагирования на инцидент информационной-безопасности | Дашборды, оповещения, глубокая настройка правил, вплоть до активации сирен и физического блокирования СКУД Организации |
| Мониторинг общего состояния инфраструктуры Организации | Различные дашборды позволяют специалистам и руководству держать руку на пульсе жизни инфраструктуры | Визуализация и представление аналитики. Удобные и настраиваемые дашборды. Централизованный доступ к журналам, потокам данных и событиям в локальной среде |
| Глубокая аналитика хранимых данных | Специалист всегда может обратиться к хранимым данным и получить то, что ему нужно. Исторический анализ событий и сетевых потоков инфраструктуры | Создание и сохранение гибких поисковых запросов для получения любой информации, имеющейся в Системе |
| Категоризация хранимых данных | Категоризация данных, позволяет специалисту быстро получить информацию по интересующему его запросу | Все данные, хранимые в Системе, категорируются по различным параметрам – IP-адреса, пользователе, события и прочее |
| Управление и аудит активов инфраструктуры | Используя Систему, специалист всегда в курсе какие активы присутствуют в инфраструктуре. Расширяя функционал бесплатными дополнительными приложениями, специалист ещё более расширяет детализацию и контроль за базой данных активов | Система в автоматическом режиме собирает и детализирует активы внутри инфраструктуры Организации.
При необходимости, специалисты могут дополнительно детализировать данные активов. Расставить риски, критичность, владельцев |
| Контроль соответствия внутренним политикам и требованиям регуляторов | Специалисты и Организация всегда готовы к аудитам и проактивно действуют и предотвращают все нарушения | Система позволяет в автоматическом режиме выявлять нарушения внутренней политики и требования регуляторов (PCI, SOX, FISMA, ISO, GLBA, HIPAA) |
| Генерация и автоматизация создания и предоставления отчётности | Специалисты всегда могут предоставить отчёт любой сложности и наполненности для руководства по интересующим их данным | Планирование генерации отчетов в определенный период времени, поддержка отчётности для PCI, SOX, FISMA, ISO, GLBA, HIPAA, настройка отчётности по различным параметрам – время, адреса, пользователи, нарушения и прочее |
| Контроль уязвимостей инфраструктуры Организации | Специалисты видят и проактивно устраняют выявленные уязвимости и предотвращают возможные угрозы | Защищённость ИТ-инфраструктуры от старых и новых уязвимостей |
| Реагирование на инциденты ИБ | Система непрерывно производит анализ всей информации, которую она получает и в реальном времени оповещает специалистов. | Готовые к применению инструменты автоматически анализируют журналы и потоки данных, что помогает обнаруживать угрозы и выдавать предупреждения с разными приоритетами по мере принятия мер к нейтрализации атак |
| Понимание инфраструктуры Организации | Специалисты и руководство знают, как и что устроено в инфраструктуре Организации | Сервера, сетевые устройства, персональные компьютеры, архитектура сети и т.д. |
| Планирование развития инфраструктуры Организации | Специалисты всегда могут обосновать и предоставить данные о состоянии и необходимости тех или иных дополнительных ресурсов для инфраструктуры Организации | Оценка состояния инфраструктуры. Видимость путей развития инфраструктуры |
| Управление рисками | Наблюдая жизнь инфраструктуры, анализируя и устраняя различные нарушения, специалисты получают информацию о возможных рисках и угрозах для Организации | Обновление оборудования, усовершенствование сети, усиление мер безопасности, создание политик и т.д. |
| Снижение временных затрат на аналитику | Сокращение затрат на человеко-часы при проведении расследовании и аудита инфраструктуры | Централизованный просмотр всех событий, связанных с конкретной угрозой, в единой консоли для минимизации ручных процессов. Это помогает сконцентрироваться на расследовании инцидентов и реагировании на них |
| Конфиденциальность хранимых данных | Для Организаций, которые работают с персональными данными, финансовой информацией, государственными секретами это означает, что содержимое данных не будет получено третьими лицами и злоумышленниками | При необходимости, Система позволяет шифровать и маскировать получаемые и хранимые данные, создавать гранулированные права доступа |
| Повышение уровня экспертизы специалистов ДИТ и ДИБ | Развитие и обучение специалистов, что ведёт к повышению стоимости Организации, повышению прибыли, снижению рисков | Большая база знаний от Вендора, включая онлайн академию с интерактивными курсами |
| Повышение стоимости Организации | Проактивное реагирование, предотвращение критических инцидентов ведёт к улучшению имиджа Организации, рыночной стоимости Организации | Приток клиентов, белый PR, средства массовой информации и другое |
| Повышение прибыли Организации | Система оказывает воздействие на непрерывность бизнес-процессов Организации, устойчивость всех компонентов Организации | Приток клиентов, белый PR, средства массовой информации и другое |
| Управление ресурсами Организации | CISO, CIO всегда информированы о состоянии инфраструктуры, действиям персонала, реагированию на инциденты | Прозрачность процессов, прозрачность действий персонала |
QRadar SIEM: Создан с учетом интересов аналитиков
QRadar SIEM был создан специально для аналитиков. Это гораздо больше, чем просто инструмент — это помощник для разрозненных групп безопасности, который помогает им более эффективно выполнять свою работу. Мы считаем, что эти ключевые возможности продукта помогли нам получить эту престижную награду от Gartner.
- ИИ корпоративного уровня: ИИ корпоративного уровня является основой QRadar SIEM. Эти модели ИИ были предварительно обучены работе с миллионами оповещений. QRadar SIEM использует несколько уровней ИИ и автоматизации для существенного повышения качества оповещений и эффективности работы аналитиков безопасности. Используя развитые возможности искусственного интеллекта, предварительно обученные на миллионах предупреждений от обширной сети клиентов IBM, облачная система QRadar SIEM обеспечивает контекст и приоритезацию угроз, позволяя аналитикам сосредоточиться на сложных и высокоэффективных задачах work. QRadar SIEM обеспечивает автоматизированное расследование угроз и более быстрое реагирование на них с помощью надежных рекомендаций.
- Единый опыт аналитиков: QRadar SIEM предлагает клиентам доступ к широкому набору интегрированных возможностей, которые позволяют проводить более упреждающее обнаружение, расследование и реагирование с помощью различных наборов инструментов. Интуитивно понятный унифицированный пользовательский интерфейс QRadar SIEM избавляет аналитика от необходимости выполнять индивидуальный поиск в различных инструментах и отображать результаты в единой консоли. Чтобы легко визуализировать результаты, QRadar SIEM предоставляет их в виде простого для понимания визуального графика атак с отображениями MITRE ATT и CK.
- Открытый: QRadar SIEM, созданный на базе Red Hat OpenShift, открыт по своей сути, что обеспечивает более глубокое взаимодействие с инструментами разных поставщиков и облаками. Он использует открытый исходный код и открытые стандарты для основных функций, включая правила обнаружения и язык поиска, что позволяет ему легко работать с более широкими системами безопасности и технологическими стеками компаний. Это помогает противостоять угрозам нулевого дня, поскольку новые правила сообщества SIGMA обновляются в SIEM за считанные минуты.
QRadar SIEM может помочь организациям в решении ключевых задач, таких как расширенное обнаружение угроз, отслеживание угроз, управление соответствием требованиям и многое другое.
Копайте глубже
Для более подробного ознакомления с возможностями QRadar SIEM загрузите полный магический квадрант Gartner для SIEM за 2024 год*.
Источник:
https://www.ibm.com/blog/announcement/ibm-leader-gartner-magic-quadrant-siem/
https://www.ibm.com/account/reg/signup?formid=urx-52823
https://icore.kz/upravlenie-inczidentami/ibm-security-qradar-siem/
Автор:
Anshul Garg, Sr. Product Marketing Manager, QRadar SIEM, IBM
Редактор:
Лебедев А., Head of Engineering Department, ICORE-Integration