越来越多的企业在开始采用SIEM来帮助自己通过分析安全信息和安全事件来找到潜在的威胁。企业需要在众多SIEM产品中找到最适合自己的那款产品。Gartner将SIEM的关键能力分为八大点：实时监测事件响应与管理高级威胁检测业务威胁情报用户监控数据和应用监控高级分析简易化部署和支持总览IBM的

　　越来越多的企业在开始采用SIEM来帮助自己通过分析安全信息和安全事件来找到潜在的威胁。企业需要在众多SIEM产品中找到最适合自己的那款产品。Gartner将SIEM的关键能力分为八大点：

　　IBM的SIEM解决方案是以QRadar SIEM为核心，同时配合附加组件来增加更多的安全能力：比如日志管理的Log Management，网络监控的QFlow，漏洞管理的Vulnerability Manager以及风险管理的Risk Manager。从部署角度，QRadar可以一体化部署，也可以选择分布式部署。另外，X-Force系统为QRadar带来了强大的威胁情报能力。UBA（用户行为分析）和IBM QRadar Advisor with Watson大大增强了QRadar的高级分析能力。对于有额外需求的企业，可以通过IBM App Exchange获取额外的第三方集成和应用，满足自己的企业的特殊需求。

　　对于一个SIEM系统，实时的分析能力是这个系统是否能最快检测出威胁的标杆之一。实时分析的核心是基于各类安全信息产生的基线和与实时产生的事件进行对比，发现异常情况。因此，安全信息的体量与分析能力尤为重要。

　　QRadar能力：QRadar中的QFlow可以提供网络流的分析，能够识别七层中的应用程序，并且捕获进程的包头。QRadar通过分析日志信息、NetFlow、QFlow以及对数据包的深层检测和全包抓取，对实时信息进行分析。

　　仅仅能够检测到危险是不够的，在发现事件后如何响应与处理也需要SIEM来协调。而从事件的响应与管理角度来看，靠安全人员手动操作会带来时间以及效率上的不足。因此，如今的SIEM产品需要有自动化编排和响应能力来对即发时间进行处理。

　　QRadar：QRadar拥有较强的事件响应和管理能力，企业可以通过购买额外的服务来获取完整的自动化以及编排能力。附加的自动化编排能力为企业提供了“响应指导”，帮助安全人员在特定时间点上找到正确的相关人员进行适当的处置。另一方面，QRadar附加的自动化编排能力可以反复使用，安全人员不需要为了一个新的用例重新开发一个整合方式。综合来看，QRadar能帮企业节省大约98%的响应时间。

　　现在的环境中，企业往往需要防御大量不同的攻击，而为此则需要多种防御工具以及安全厂商的产品。然而，对于企业来说，如果有一家安全厂商能做到多种复杂攻击的防御显然要远远优于要在多家安全厂商之间进行协调和管理。

　　QRadar能力：QRadar的最大特点，就是其高级威胁检测的能力。在实时检测的基础上，有部分设备出现一次或者两次的异常行为可能依然是正常情况。然而，一旦该设备频繁出现告警，并且传输大量异常数据，那么QRadar就会捕捉到这一情况并且产生加强警报。另一方面，安全人员的一大顾虑在于要在海量的告警中发现有效告警，而很多告警往往是围绕同一事件发生；即使这些告警为有效告警，安全人员依然可能会在这些告警中迷失，QRadar能帮助安全人员，将相关告警综合在同一事件中给出，帮助安全人员更好处理安全事件。

　　威胁情报与业务安全能为安全团队提供大量的信息来帮助安全团队更好地面对已知的风险，同时对于未知的风险，可以更轻易地找到不正常的行为。因此，威胁情报能够帮助款SIEM产品更好地发现、验证攻击，并且采取更加有效的响应方式。

　　QRadar能力：QRadar的另一个亮点是它强大的威胁情报能力。QRadar与IBM X-Force Exchange相连，能够获取海量来自IBM的情报信息。IBM X-Force每天监控超过150亿起安全时间来获取匿名威胁信息、2.7亿终端实时获取威胁情报、超过86万恶意IP******信誉数据、超过800万垃圾邮件和网络钓鱼攻击深度情报分析等各大量情报来源于能力。当然，仅仅有数据量是不够的——企业更在意他们真正面临的危险有哪些。QRadar会根据企业的情况，告诉企业会面临的最大威胁，以及又修复了哪些威胁。