Preparación invernal para QRadar, la oferta SIEM basada en la nubeIBM que integra varios elementos en monitoreo de nube híbrida, soluciones de código abierto y carga de trabajo de IA. La oferta combina el marco SIEM existente de QRadar Suite con inteligencia artificial generativa y capacidades de detección de amenazas para mejorar la ingesta de datos y escalar la búsqueda y el análisis.

"Reconstruimos nuestro SIEM desde cero, utilizando Red Hat Open Shift como arquitectura de datos subyacente y aprovechando la tecnología de almacenamiento de datos de alto rendimiento para la gestión de registros", afirmó Chris Meenan, vicepresidente de gestión de productos de IBM Security. "Los clientes actuales de QRadar ahora podrán modernizar sus operaciones de seguridad con una base de datos creada específicamente para las necesidades de entornos híbridos y de múltiples nubes", agregó. IBM QRadar Cloud-Native SIEM estará disponible a finales de año, inicialmente en modo SaaS, a la espera de la entrega de software para entornos locales y multinube prevista para 2024.

Índice
  1. SIEM nativo para interoperabilidad
  2. IA y automatización

SIEM nativo para interoperabilidad

Basado en Red Hat OpenShift para una implementación independiente, SIEM de IBM estará abierto a un "nivel fundamental" para garantizar la interoperabilidad con múltiples proveedores de nube y sus herramientas. QRadar se basará en software gratuito y estándares abiertos para las funciones principales, incluidas las reglas de detección de amenazas y los lenguajes de búsqueda. "El enfoque abierto de IBM es absolutamente esencial para permitir a los clientes aprovechar los beneficios de la nube en entornos híbridos y multinube", afirmó Chris Meenan. “Otros proveedores ofrecen una arquitectura basada más en un enfoque de nube única, lo que hace que los análisis de seguridad, las integraciones y las opciones de búsqueda funcionen bien en su nube nativa, pero son difíciles de implementar en un entorno nativo de la nube. de nube híbrida distribuida”.

Como parte de este enfoque "abierto", IBM SIEM admite las reglas unificadas comunes y compartidas del lenguaje de detección Sigma, para que los clientes puedan importar otras métricas directamente desde la comunidad de seguridad. a medida que las amenazas evolucionan. El uso de tecnologías de código abierto promete “capacidades de búsqueda federada y búsqueda de amenazas”, con la capacidad de buscar e investigar amenazas en todas las fuentes de datos locales y en la nube de una “manera simple”. único y unificado, sin mover datos de su fuente original”, dijo IBM. Sin embargo, el enfoque “nativo de la nube” en sí mismo puede no ser suficiente para que IBM compita con los actores existentes. "Esta arquitectura nativa de la nube por sí sola no proporciona a IBM una ventaja sobre proveedores como Devo, Google, Microsoft y Splunk que han adoptado una estrategia similar", dijo Jon Oltsik, analista de ESG. “IBM tiene que competir en características/funcionalidad, pero el proveedor tiene argumentos sólidos que defender en torno a la apertura, la federación de datos, el soporte de estándares, el ecosistema de socios, etc. »

IA y automatización

Para automatizar los procesos de detección e investigación de amenazas, el SIEM reestructurado introduce y toma prestadas varias capacidades de IA. Las funciones impulsadas por esta tecnología incluyen priorización de alertas, investigación de amenazas y detección adaptativa. Los algoritmos de IA desarrollados por IBM se utilizan para reducir el ruido y automatizar la agrupación, contextualización y escalamiento de alertas prioritarias. La investigación de amenazas también utiliza motores de inteligencia artificial para realizar búsquedas automatizadas de sistemas conectados, generando una línea de tiempo visual del ataque, coincidencias de MITRE ATT&CK y acciones recomendadas. La detección adaptativa se refiere a la actualización automática de las reglas de detección a medida que llega la información. "Las tecnologías de IA de QRadar se desarrollaron dentro de IBM y se perfeccionaron a lo largo de varios años, se entrenaron en millones de alertas de miles de clientes, así como en el contexto de amenazas externas y los patrones históricos de respuesta de los analistas", dijo Chris Meenan. "Algunas de estas capacidades de IA también se desarrollaron en colaboración con el equipo de Servicios de Ciberseguridad de IBM, que gestiona las operaciones de seguridad para miles de clientes en todo el mundo".

Simultáneamente con este anuncio, IBM anunció planes para lanzar capacidades de seguridad generativa basadas en IA a través de QRadar Suite a principios de 2024. Estas se construirán principalmente en watsonx, la plataforma de datos e inteligencia artificial de IBM. la empresa. "Dada su experiencia con Watson y el compromiso general de IBM con la IA en toda la empresa, creo que sus capacidades de IA generativa serán fuertes, pero es un área que sigue siendo bastante confusa para los clientes", dijo Jon Oltsik de ESG. “IBM debe ayudar a guiar el mercado con liderazgo intelectual y garantizar que los clientes puedan implementar la IA generativa sin problemas. El proveedor seguirá respaldando su oferta actual de QRadar SIEM y, al mismo tiempo, brindará a los clientes la opción de realizar la transición a la solución SIEM nativa de la nube”.