生成式 AI 挑战 SIEM

随着越来越多的供应商在其平台和产品中添加对生成式人工智能的支持，安全分析师的生活似乎变得更加轻松。 虽然向安全信息和事件管理 (SIEM) 添加生成式 AI 功能仍处于早期阶段，但一些提供商正在采取措施，允许安全分析师使用自然语言处理与其平台进行交互。

IBM QRadar SIEM 的生成式 AI

以 IBM 为例：蓝色巨人最近宣布计划将其 QRadar SIEM 平台升级到现代云原生架构，并将其 watsonx 技术引入新平台。 新的 QRadar SIEM 将在未来几周内作为 SaaS 产品发布，其中 watsonx 模型和基于 Red Hat OpenShift 的本地版本将于 2024 年推出。该计划旨在将生成式 AI 添加到改造后的平台中明年。

现代化的 QRadar SIEM 产品将成为最初于 2023 年 XNUMX 月推出的 QRadar Suite 的一部分，该套件将 IBM 的 EDR、XDR、SOAR 和 SIEM 产品以及新的日志管理工具带到一个通用平台上，旨在为 SOC 分析师提供统一的界面和控件。

分析师表示，QRadar SIEM 早该进行重大升级，因为 Splunk、Palo Alto Networks、微软、CrowdStrike 和 Elastic 等竞争对手已经推出了云原生替代方案。 近几个月来，领先的安全提供商发布了具有 SIEM 的托管检测和响应 (MDR) 平台的技术预览版，该平台可以利用生成式 AI。

“他们基本上已经在功能和性能方面尽可能地利用了遗留平台，并且需要对平台进行现代化并迁移到云原生，这正在成为下一代 SIEM 领域的赌注，这是一个非常重要的问题。势在必行，”Omdia 网络安全管理合伙人埃里克·帕里佐 (Eric Parizo) 说道。 “幸运的是，恰逢 IBM 在全公司范围内转向红帽 OpenShift 平台。”

Parizo 表示，将 QRadar 迁移到 OpenShift 并强调基于标准的集成可以使其安全产品在 IBM 核心基础之外更具吸引力。 “然而，它必须克服相对未经验证的端点安全解决方案、将其本地 SIEM/SOAR 客户转换为新的云原生 SIEM 的长达数年的努力，以及日益激烈的竞争，尤其是来自微软的竞争，该公司的营收超过 20 亿美元。今年早些时候的年度安全收入，并表示致力于占领 SecOps 市场。”

IBM 即将推出的生成式 AI 功能旨在通过自动执行重复且乏味的任务来提高安全运营团队的效率，使他们能够专注于更关键的问题。 其中包括生成常见事件的报告、通过基于攻击模式的自然语言解释生成搜索来进行威胁狩猎、用事件的非技术解释来解释机器生成的数据以及管理威胁情报并确定最相关的内容。

夏洛特人工智能来到猎鹰猛禽

Crowdstrike 是另一家通过生成式 AI 撼动 SIEM 的公司：Charlotte AI 将成为 Raptor 新版本的一部分，Raptor 是 Crowdstrike 的 Falcon XDR 平台的重新架构版本。 Raptor 增加了生成式 AI 驱动的事件调查功能和扩展检测和响应 (XDR) 功能。

在最近于拉斯维加斯举行的 Fal.Con 2023 会议上，CrowdStrike 展示了采用 Charlotte AI 的新 Falcon Raptor XDR 平台，该平台将威胁遥测和功能以及作为自动化安全分析师的类似机器人的界面功能关联起来。 它允许用户（从缺乏技术经验的管理人员到高级安全专业人员）提出问题并接收自然语言答复。

“随着 Raptor 的发布，我们现在能够本地获取第三方数据，”创始人兼首席执行官 George Kurtz 在 Fal.Con 活动的主题演讲中说道。 Kurtz 表示，CrowdStrike 的威胁图识别了会导致威胁指示器的事件组合。

随着 Falcon Raptor 将 XDR 功能转移到云端，Kurtz 承诺，由于 CrowdStrike 的新威胁和资产图（提供组织资产和状态的详细视图），它不会丢失端点上的活动上下文。 库尔茨说，情报图旨在了解威胁和对手。

虽然参加 CrowdStrike 会议的客户表示他们对 Charlotte AI 演示很感兴趣，但许多人表示他们不会急于参与。 “我将拭目以待，”怀俄明州副 CISO Jason Strohbehn 表示。 “但如果它出来并且像承诺的那样有效，它可以让我和我的团队更快地完成工作。”

差旅费用管理 SaaS 提供商 Navan（前身为 Trip Actions）的副总裁兼安全与信任全球主管 Prabhath Karanth 也计划为他的 SOC 和 IR 分析师评估 Charlotte。 “我们一定会测试它，”卡兰斯说。 “如果我们能够缩短警报分类的周期时间，从效率的角度来看，这将是一个巨大的进步。”

Microsoft Security Copilot 向早期访问客户发布

值得注意的是，微软上个月为抢先体验的客户发布了 Security Copilot 预览版。 微软声称，当安全分析师使用自然语言文本输入复杂查询时，2023 年 40 月推出的限制性更强的预览版将日常安全操作任务所花费的时间减少了多达 XNUMX%。

“Security Copilot 可以有效地提高安全团队的技能，无论其专业知识如何，节省他们的时间，使他们能够找到以前可能错过的内容，并使他们能够专注于最具影响力的项目，”微软公司安全副总裁，合规性、安全性和管理 注意到 在上个月的公告中。

Microsoft 更新的预览版现已嵌入 Microsoft 365后卫 扩展检测和响应 (XDR)。 Security Copilot 还包含 Microsoft Defender 威胁情报，它可以直接访问 Microsoft 清理后的威胁情报遥测。

“人们对 Security Copilot 很感兴趣，但它假设您是 Microsoft 客户，”Olstik 说。 “如果您拥有 E5 许可证并且正在使用 Microsoft 工具、基础设施和安全性。 非常合适。 这确实会有帮助。 如果您有异构环境，那么它的效果就不会那么好。 至少不是现在。 他们说随着时间的推移他们会支持这些事情。 也许他们会的。 但就目前而言，它确实以微软为中心。”

人工智能大放异彩的时刻到了

IBM 产品管理安全副总裁 Chris Meenan 表示，IBM 多年来一直在人工智能方面处于领先地位，并指出 QRadar SIEM 使用传统机器学习来提供警报优先级和自适应检测。 “我们一直在将人工智能嵌入到我们的产品中，包括现有的 QRadar，并且我们在全球范围内自己的 MSS SOC 中大量利用了它，”Meenan 说。 

Enterprise Strategy Group 首席分析师兼研究员 Jon Olstik 回顾了 IBM 于 2017 年首次尝试将生成式 AI 功能引入 Watson 的经历： 沃森认知的发布。 奥尔斯蒂克表示，尽管大力推广它，但由于各种原因很少有客户实施它。 “我认为他们为此收取了太多费用，而且我认为人们并没有得到它的作用，”他说。 “在某种程度上，他们走在了时代的前面。”

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/emerging-tech/generative-ai-takes-on-siem