A Gartner is elismeri: új korszak jön a SIEM-piacon az MI-vezérelt megoldásokkal
2025. október 10-én fontos bejelentés rázta fel a kiberbiztonsági piacot: a CrowdStrike Falcon® Next-Gen SIEM alig egy évvel a megjelenése után bekerült a Gartner 2025-ös SIEM Magic Quadrant „Vizionáriusai” közé.
—
MI AZ A SIEM?
A SIEM (Security Information and Event Management) technológia egy olyan összetett biztonsági platform, amely összegyűjti és feldolgozza a vállalati informatikai infrastruktúra különböző pontjairól érkező eseményeket és log fájlokat. Ez a rendszer egyetlen központi helyen teszi lehetővé a hálózati aktivitások monitorozását és a potenciális veszélyek azonnali felismerését.
A megoldás két alapvető komponensre épül: egyrészt a SIM funkció biztosítja a naplóadatok archiválását és utólagos vizsgálatát hosszabb időtávon, másrészt a SEM összetevő folyamatosan figyeli az aktuális eseményeket, és riasztást küld gyanús tevékenység észlelésekor.
A SIEM rendszer legfontosabb feladata, hogy teljes körű rálátást nyújtson a vállalat informatikai biztonságának aktuális állapotára, ezáltal lehetővé téve a kiberbiztonsági események hatékony felderítését és a rájuk adott gyors válaszlépések megtételét.
—
Visszatérve a témához:
Ez nem kis szó egy ennyire friss terméktől egy bejáratott piacon, és jól mutatja, hogy a mesterséges intelligencia, a valós idejű adatfeldolgozás és az egységes platformra épülő megközelítés valóban alapjaiban írja újra a biztonsági műveleti központok (SOC) működését!
Mi, akik nap mint nap AI biztonsággal foglalkozunk, régóta érezzük, hogy a SIEM piacnak meg kell újulnia. A hagyományos rendszerek egyszerűen nem bírják a tempót.
Gondolj csak bele:
- Az MI-vel felturbózott támadók egyre kifinomultabbak.
- A rendszerek elburjánzása kezelhetetlen információs zajt generál.
- A feldolgozandó adatok mennyisége szinte felfoghatatlan.
A régi SIEM-ek fuldokolnak az adatbefogadási szűk keresztmetszetek, a horribilis költségek és a lassú észlelések miatt…
Ez pedig oda vezet, hogy az elemzők kénytelenek kockázatos kompromisszumokat kötni, ami olyan vakfoltokat eredményez, amiket a támadók kíméletlenül ki is használnak. Szükség van egy új, hatékonyabb módszerre.
Az „ágens alapú” SOC motorja: sebesség és hatékonyság
A Falcon Next-Gen SIEM pontosan ezt az űrt tölti be. Modern, úgynevezett „ágens alapú” SOC motorként működik, ami egyesíti a nagy megbízhatóságú adatokat, az MI-vezérelt észleléseket és a támadókról gyűjtött hírszerzési információkat, hogy gépi sebességgel nyújtson védelmet.
Az ügyfelek visszajelzései és a tesztek magukért beszélnek:
- 150x gyorsabb keresés, ami villámgyors észlelést és incidenskezelést tesz lehetővé.
- Több mint 1 PB/nap adatbefogadási kapacitás, ami teljes körű láthatóságot és skálázhatóságot biztosít.
- Akár 80%-os költségmegtakarítás, maximalizálva a befektetés megtérülését (ROI).
Sok szervezet már most lecseréli a régi, nehézkes SIEM rendszerét erre a natív, hiperskálázható adatalapra. Az Onum felvásárlásával pedig ezt az alapot tovább erősítették: valós idejű telemetria-vezetékeket hoztak létre, amelyek biztosítják, hogy a megfelelő adat a megfelelő helyre, a megfelelő időben juthasson el.
Az Onum ügyfelei akár 5x több eseményt tudnak feldolgozni másodpercenként, és akár 70%-kal gyorsabb az incidenskezelésük. Ez az MI-innovációkkal karöltve egy teljesen új sztenderdet teremthet!
Új MI-ágensek, amelyek tényleg az elemzők kezére dolgoznak
A Fal.Con 2025 konferencián bejelentett új, ágens alapú képességek jól mutatják, hogy a CrowdStrike komolyan gondolja a SecOps átalakítását az MI korában. Ezek az innovációk olyan régóta fennálló problémákra adnak választ, mint a támadók sebessége, a szétaprózódott eszközök és a lassú keresés.
Nézzük, milyen új MI-ágensek segítik az elemzők munkáját:
Workflow Generation Agent (Munkafolyamat-generáló ágens)
Gyakorlatilag egy beszélgető asszisztens a CrowdStrike Falcon® Fusion SOAR playbookokhoz. Nem kell többé bonyolult szkripteket írni: egyszerűen, természetes nyelven leírod, mit szeretnél, az ágens pedig létrehozza a playbookot. Ez óriási mértékben egyszerűsíti és gyorsítja az automatizálást.
Data Transformation Agent (Adatátalakító ágens)
A különböző adatforrások és silókban lévő eszközök összehangolása valódi rémálom. Ez az ágens lehetővé teszi, hogy természetes nyelvi utasításokkal alakítsd át az adatokat a Falcon Fusion SOAR-on belül. Ami eddig egy fáradságos, manuális folyamat volt, az most pillanatok alatt megoldható!
Search Analysis Agent (Kereséselemző ágens)
A lassú és nehézkes keresés a múlté. Ez az ágens a beszélgetésalapú intelligenciát visz a mélyebb eseménykeresésbe. Feltehetsz neki természetes nyelven kérdéseket a biztonsági adataidról (pl. „Mutasd meg az összes sikertelen bejelentkezési kísérletet az elmúlt órában erről az IP-címről!”), és azonnal megkapod a választ. Ezzel a mélyebb eseményelemzés mindenki számára elérhetővé válik, tudásszinttől függetlenül.
Correlation Rule Generation Agent (Korrelációs szabályt generáló ágens)
Ez az ágens a különböző threat intelligence források alapján dinamikusan generál és optimalizál észlelési szabályokat. Áthidalja a szakadékot a nyers hírszerzési adatok és a tényleges, használható észlelések között, így a szervezet villámgyorsan tud alkalmazkodni az új fenyegetésekhez.
Ezek az MI-innovációk nem csak különálló funkciók. Az MI az elemzői munka minden lépésébe beépül, így a csapatok a reaktív védekezésről áttérhetnek a proaktívra, és valós időben neutralizálhatják a támadókat.
De mit jelent mindez a gyakorlatban?
A puding próbája az evés. Hiába beszélünk a képességekről, ha nem látjuk őket működés közben. A valós idejű észlelés és válaszadás az identitás-, felhő-, SaaS- és hálózati rétegekben kulcsfontosságú az olyan agilis, több területen is támadó csoportok ellen, mint például a SCATTERED SPIDER, amely könnyedén kijátssza a hagyományos, csak végpontokra fókuszáló védelmet.
A Falcon platform képességei, beleértve a Next-Gen SIEM-et is, kritikusak az olyan modern támadások ellen, mint az adatszivárogtatás vagy a jogosultságokra épülő támadások. A rendszer hatékonyan segít felderíteni az adatlopási technikákat és védekezni a megszerzett jogosultásoggakal történő visszaélések ellen. Sőt, még a vCenter-t célzó fenyegetések észlelésében és elhárításában is komoly segítséget nyújt.
Összességében a Gartner elismerése, az új MI-képességek és az Onum felvásárlása egyértelműen jelzi, hogy a CrowdStrike nemcsak követi, hanem diktálja is a trendeket a biztonsági műveletek területén. A Falcon Next-Gen SIEM egy olyan ágens alapú SOC motor, amely készen áll arra, hogy a fenyegetéseket minden eddiginél gyorsabban és hatékonyabban keresse meg, azonosítsa és szüntesse meg. Ez a jövő, ami már ma elérhető.