IBM将在安全智能平台QRadar中引入生成式AI

　　研究显示，网络犯罪数量激增，而安全专业人员在努力连接各种信息并跟进时陷入困境。为此，IBM上周宣布将在其QRadar SIEM工具中添加生成式人工智能(Generative AI)功能，为应对这一挑战提供了一种可能的前进路径。

　　安全信息与事件管理(SIEM)工具对于热爱安全的组织来说至关重要，因为它们是从现代IT堆栈中的各个组件(包括IBM i)中收集安全数据并试图理清表面混乱的地方。QRadar，由IBM于2011年收购Q1Labs而获得，是这一领域的顶级产品之一。

　　长期以来，机器学习在SIEM工作中一直是标配，因为它可以发现数据中埋藏的人眼可能忽略的异常。QRadar提供的机器学习功能之一是用户行为分析(UBA)，它使产品能够将系统和网络事件与用户行为数据相结合，以识别可能标志着潜在威胁的复杂交互。

　　然而，即使有机器学习在搜索相关性的数十亿事件日志中做着繁重的工作，安全专业人员仍然滞后。Vectra AI的研究发现，安全分析师每天必须手动查看约4，500个警报，这虽然相对于数十亿来说已经好了很多，但仍然太多。

　　Vectra AI发现，几乎所有受访分析师(97%)担心漏掉重要信息。这是因为安全工具供应商害怕不标记重要事项而导致安全分析师遭受“警报过载”。IBM在其于今年三月发布的《全球安全运营中心研究结果》报告中得出了类似的结论。该研究发现，安全运营中心(SOC)工作人员平均花费其典型工作日的三分之一来调查并非真实威胁的事件。而且，五分之四的SOC工作人员表示手动调查威胁会减缓他们的响应时间。

　　显然，有必要提供更好的工具，能够自动化更多的工作并减轻SOC的负担。这正是IBM通过在其QRadar套件中引入生成式AI功能所做的事情。

　　IBM上周宣布的GenAI功能基于其Watsonx产品线，将用于自动执行报告、威胁猎捕、数据解释和数据整理等多项任务。IBM表示，QRadar中的GenAI功能将于2024年第一季度推出。

　　IBM表示，将一些更为乏味的任务交给GenAI将使安全分析师能够专注于更重要的工作。例如，Watsonx GenAI功能将代替安全分析师构建报告。同样地，QRadar将利用Watsonx的自然语言处理(NLP)功能自动生成用于识别不良分子的搜索。NLP还将用于生成日志数据分析的简明英语描述。最后，NLP将被用于“解释和总结”威胁情报，这可能会让SOC工作人员在对抗网络犯罪分子时更具优势。

　　IBM表示，计划推动在其广泛的安全软件和服务组合中应用GenAI。公司表示，最终可能会利用GenAI来帮助安全团队发现类似事件、更新受影响的系统，甚至修补有漏洞的代码。

　　IBM表示，已经对QRadar进行了最新版本的全面改进，并且现在是“云原生”了。它重新设计了产品，使其运行在自家的Red Hat OpenShift Kubernetes分发版上。新QRadar套件的云版本将于本季度上线，而本地和多云版本将于明年发货。

　　新QRadar套件所宣传的功能包括:支持行业标准的SIGMA安全检测规则;跨云和本地数据源进行联邦搜索和威胁猎捕的能力，并与MITRE ATT&CK知识库集成;攻击面管理(ASM)功能;支持行业标准的安全、编排、自动化和响应(SOAR)操作手册;以及拥有700个预构建集成的深度合作伙伴网络。

　　当然，其中一项集成是IBM i，通过由IBM提供的名为QRadar DSM for IBM i的设备支持模块(DSM)提供。IBM i用户有多种选项将IBM i中的安全事件数据推送到QRadar，包括手动提取安全日志、使用Syslog自动导入安全事件，或使用第三方工具将IBM i安全事件转换为QRadar专用的Common Event Format(CEF)或Log Event Extended Format(LEEF)。