当生成式AI遇上SIEM，效率翻倍的秘密！

随着越来越多的供应商在其平台和产品中加入对生成式AI的支持，安全分析师的生活似乎变得越来越轻松。虽然在安全信息与事件管理（SIEM）产品中加入生成式AI功能仍处于早期阶段，但一些供应商正采取措施，让安全分析师能够运用自然语言处理与其平台交互。

以IBM为例：这家IT巨头最近宣布计划将其QRadar SIEM平台升级为云原生架构，并在其中融入自家watsonx技术。新QRadar SIEM将以软件即服务（SaaS）的形式发布，watsonx模型和基于Red Hat OpenShift的本地版本预计在2024年推出。IBM计划于明年将生成式AI加入到升级后的平台中。

更新版QRadar SIEM将融入QRadar套件，该套件最初于2023年4月推出，将端点检测与响应（EDR），扩展检测与响应（XDR），安全编排、自动化与响应（SOAR）、SIEM产品和新款日志管理工具集成到了一个通用平台上，可以为安全运营中心（SOC）分析师提供统一的界面和控制。

分析师称，QRadar SIEM早就应该大升级了，因为Splunk、Palo Alto Networks、微软、CrowdStrike和Elastic等竞争对手已经推出了云原生SIEM产品。最近几个月，主流安全供应商都发布了具有SIEM的托管检测与响应（MDR）平台，其中的SIEM可以利用生成式AI。

Omdia主管首席分析师Eric Parizo表示：“他们基本上已经充分挖掘了其旧有平台的功能和性能，迫切需要对平台进行现代化改造并转向云原生平台，这是下一代SIEM细分市场的决胜筹码。很幸运，IBM整体转向Red Hat OpenShift平台的举动与之不谋而合。”

Parizo表示，QRadar转至OpenShift且注重基于标准的集成，可以使IBM的安全产品在其核心基础之外更具吸引力。

“不过，它还需要克服端点安全解决方案相对未经验证的劣势，将其本地SIEM/SOAR客户转至新云原生SIEM也需要多年努力。此外，IBM还面临不断加剧的竞争，尤其是来自微软的竞争——今年早些时候，微软年度安全收入已超过200亿美元，并表示将致力于占据SecOps市场。”Parizo说道。

IBM即将推出的生成式AI功能旨在通过自动化乏味的重复任务，使安全运营团队能够将精力放在更关键的问题上，从而提高安全运营效率。其中包括生成常见事件报告，根据攻击模式的自然语言解释生成搜索并以此进行威胁捕捉，用事件的非技术性解释来阐释机器生成的数据，以及策划威胁情报并确定哪些内容最为重要。

CrowdStrike是另一家用生成式AI彻底改造SIEM的公司：新发布的CrowdStrike Falcon XDR平台Raptor中将纳入Charlotte AI。Raptor增加了生成式AI驱动的事件调查及XDR功能。

最近在拉斯维加斯举行的Fal.Con 2023大会上，CrowdStrike展示了具有Charlotte AI的新Falcon Raptor XDR平台，该平台将威胁遥测数据和功能相关联，并具有类似聊天机器人的界面，可起到自动安全分析师的作用。从几乎没有技术经验的高管到高级安全专业人员，各类用户都可以用自然语言提问并得到答案。

在Fal.Con大会主旨演讲中，CrowdStrike联合创始人兼首席执行官George Kurtz表示：“随着Raptor的发布，我们现在有能力原生摄入第三方数据了。CrowdStrike的威胁图可以显示可能通往威胁指标的事件组合”。

Falcon Raptor将XDR功能移到云端，但Kurtz承诺，由于CrowdStrike的新威胁与资产图能够提供组织资产与状态的详细视图，Falcon Raptor不会失去端点上活动的上下文。他表示，情报图旨在了解威胁和对手。

虽然CrowdStrike Fal.Con大会上各位客户对Charlotte AI演示表现出了兴趣，但很多客户表示并不会马上投入其中。

怀俄明州副CISO Jason Strohbehn表示：“我会再等等看。但如果这东西最终像承诺的那么有效，那我和我的团队做起事来就更快了。”

差旅费用管理SaaS提供商Navan（前身为Trip Actions）副总裁兼全球安全与信任主管Prabhath Karanth也计划为其SOC和事件响应（IR）分析师评估Charlotte适用性。

Karanth表示：“我们肯定会测试一下。如果能够减少警报分类的周期时间，那就是效率的巨大提升了。”

值得注意的是，微软在10月份向早期访问客户发布了Security Copilot预览版。微软表示，2023年3月发布了更受限的预览版，在该版本中，安全分析师可以用自然语言文本输入复杂查询，日常安全运营任务的处理时间因此缩减40%。

在10月份的声明中，微软安全、合规与管理副总裁指出：“无论安全团队的专业知识水平如何，Security Copilot都可以有效提高其技能，为他们节省时间，让他们能够找出此前可能错过的指征，并解放他们的双手，让他们能够将精力放在影响最大的项目上。”

微软这次更新的预览版嵌入了Microsoft 365 Defender XDR。Security Copilot中还囊括了Microsoft Defender Threat Intelligence，可直接访问微软经清洗过的威胁情报遥测数据。

企业战略集团（ESG）首席分析师兼研究员Jon Olstik表示：“Security Copilot引起众人关注，但前提是你是微软的客户。如果你有E5许可且正在用微软的工具、基础设施和安全产品，那Security Copilot就很合适，真能帮上忙。如果你是异构环境，那效果就不怎么样了。至少目前没那么有用。微软说以后会提供支持。可能吧。但现在，Security Copilot真就是以微软为中心的。”

IBM产品管理安全副总裁Chris Meenan表示，IBM多年来一直在AI领域处于领先位置，并指出QRadar SIEM使用传统机器学习提供警报优先级排序和自适应检测。

Meenan称：“我们一直在将AI嵌入我们的产品中，包括现有的QRadar，我们分布全球的托管安全服务（MSS）SOC大量运用AI。” 

Olstik回忆称，2017年，随着Watson Cognitive的发布，IBM首次尝试将生成式AI功能加入Watson。尽管大力推广，但由于各种各样的原因，很少有客户使用这款产品。

他表示：“我觉得他们收费太高了，而且我并不认为用户发挥了其功效。某种程度而言，他们走在了时代的前面。”

* 本文为nana编译，原文地址：https://www.darkreading.com/cybersecurity-operations/generative-ai-takes-on-siem注：图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。