IBM Security QRadar Suite obejmuje podstawowe technologie wykrywania i reagowania na zagrożenia.  Produkt wychodzi  naprzeciw oczekiwaniom specjalistaów ds. cyberbezpieczeństwa poszukujących zunifikowanych systemów.

Jedną z największych bolączek rynku cyberbezpieczeństwa jest jego nadmierne rozdrobnienie. Jak wynika z badania przeprowadzonego przez IBM and Ponemon Institute aż 30 proc. organizacji korzysta z ponad 50 pochodzących od różnych dostawców narzędzi i technologii zapewniających bezpieczeństwo. Firmy mają coraz większe  trudności z zarządzaniem zróżnicowaną infrastrukturą oraz oprogramowaniem bezpieczeństwa.  Problem ten pogłębia się ze względu na deficyt specjalistów ds. cyberbezpieczeństwa. Respondenci uczestniczący w badaniu  ESG (Enterprise Strategy Group) przyznali, że najważniejsze konsekwencje niedoboru pracowników to nadmiernie obciążenie zespołu (62 proc.), a także wakaty na stanowiskach oraz wypalenie zawodowe.

Nic nie wskazuje na to, że w najbliższych latach sytuacja na rynku pracy ulegnie zasadniczej poprawie. Sprawy w swoje ręce biorą dostawcy systemów bezpieczeństwa IT, którzy starają się okiełznać chaos wywołany przez nadmiar i rozdrobnienie narzędzi. Na szczególną uwagę zasługują działania IBM. Koncern w połowie ubiegłego roku poinformował o przeprojektowaniu swojej platformy IBM QRadar. Celem tej operacji była unifikacja narzędzi, która między innymi przyspieszy szybkość reakcji na incydenty.

Produkt jest kompilacją QRadar Log Insights oraz nowych wersji QRadar SIEM, QRadar EDR i XDR oraz QRadar SOAR. Nowy pakiet – kilka produktów wokół wspólnego interfejsu użytkownika. Dostarczany jako usługa, IBM Security QRadar Suite jest opracowany specjalnie dla potrzeb chmury hybrydowej.

Charakterystyka produktów wchodzących w skład IBM Security QRadar Suite

QRadar Log Insights: Natywne dla chmury rozwiązanie do zarządzania dziennikami bezpieczeństwa, zapewniające uproszczone pozyskiwanie danych i ich szybką analizę. Wykorzystuje elastyczne repozytorium danych do zbierania, przechowywania i przeprowadzania analiz terabajtów danych.

QRadar EDR i XDR:  Narzędzia chroniące punkty końcowe przed wcześniej nieznanymi zagrożeniami typu zero-day.  Wykorzystują  automatyzację oraz modele uczenia maszynowego i zachowań do wykrywania anomalii behawioralnych, a także reagowania na ataki w czasie zbliżonym do rzeczywistego. Dla firm, które chcą rozszerzyć swoje możliwości wykrywania i reagowania poza punkt końcowy, IBM oferuje również XDR z korelacją alertów, automatycznym dochodzeniem oraz zalecanymi odpowiedziami w sieci, chmurze, wiadomościach e-mail, a także zarządzane wykrywanie i reagowanie (MDR).

QRadar SOAR: Narzędzie pomaga organizacjom zautomatyzować i zaaranżować przepływy pracy w odpowiedzi na incydenty oraz zapewnić, że ich określone procesy są przestrzegane w spójny, zoptymalizowany i mierzalny sposób. Zawiera 300 gotowych integracji i oferuje gotowe podręczniki do reagowania na ponad 180 globalnych naruszeń danych i przepisów dotyczących prywatności.

QRadar SIEM: Cieszący się renomą na rynku QRadar SIEM został wzbogacony o nowy ujednolicony interfejs analityka, który zapewnia wspólne spostrzeżenia i przepływy pracy z szerszymi zestawami narzędzi do działań związanych z bezpieczeństwem. Oferuje wykrywanie zagrożeń w czasie rzeczywistym, analizę zachowań sieci i użytkowników oraz analizę zagrożeń w świecie rzeczywistym, która ma na celu zapewnienie analitykom dokładniejszych, bardziej kontekstowych i priorytetowych alertów.

Funkcje sztucznej inteligencji oferowane przez IBM Security QRadar Suite umożliwiają analitykom bezpieczeństwa skupianie się na zadaniach o wyższym priorytecie.  Jedną z nowinek jest triage alert, czyli klasyfikacja alertów według ważności.  Funkcja bazuje na sztucznej inteligencji i za pomocą przeszkolonych wcześniej modeli ustala kolejność realizacji zgłoszeń. Z badań przeprowadzonych wśród 400 klientów wynika, że czas zarządzania zagrożeniami skrócił się o ponad 50 proc.

Inne funkcje to zautomatyzowane badania zagrożeń w celu automatycznego identyfikowania i badania incydentów o wysokim priorytecie oraz przyspieszenie działań typu thread hunting, co według IBM pomaga analitykom bezpieczeństwa „odkrywać ukryte ataki i oznaki naruszenia bezpieczeństwa w ich środowiskach bez przenoszenia danych z pierwotnego źródła”.