威胁不仅仅来自外部，也有可能来自于内部。SIEM产品需要UBA来分析自身用户的行为情况并且进行监控。用户可能会被钓鱼邮件等方式窃取凭据或者访问非法站点，也有可能是主动行为进行信息泄密。

　　QRadar能力：QRadar可以通过对用户行为的监控与分析，发现潜在的威胁。行为的检测需要大量的信息，QRadar的威胁情报与业务安全的能力能帮助安全团队更有效地将各类事件和行为关联起来，发现哪些是正常的，哪些是不正常的。不仅仅是行为本身的分析，QRadar可以和威胁情报相关联，发现用户是否在和有威胁的对象进行看似正常的沟通。

　　数据已经成为了企业的核心资产之一。而应用如今也是攻击者的重度利用对象之一。所以，SIEM也需要对企业的数据和应用进行监控。而对数据和应用进行监控的先决条件就是知道有哪些应用、有哪些关键数据，而他们又在哪里。

　　QRadar能力：QRadar会先发现企业的关键数据有哪些，在哪，并对相关应用系统进行分析，发现是否有泄露风险。之后，QRadar利用自己的分析以及检测能力，可以检测到是否有新的应用开始运行，并监测应用的使用情况，以及该应用是否能够或者尝试访问敏感信息，并且对接入关键数据的流量进行监控，保护关键信息。

　　高级分析意味SIEM能否使用各类复杂的统计以及数理模型，结合日志以及信息来检测异常行为。以如今的技术为例，机器学习、深度学习以及图像模型等，都是高级分析的实践方式。另外，可视化等能让安全团队更好地了解情况并且做出决策的功能也在此之列。

　　QRadar能力：QRadar除了UBA之外，还有IBM QRadar Advisor with Watson的AI系统，查找威胁的根源和范围，分析并得出可能的威胁发起人、最终目标以及其他信息，帮助安全团队更快解决问题。

　　SIEM系统并非每家企业都有能力完全使用和部署，尤其是对于中小型企业而言。然而，SIEM的价值却逐渐受到中小企业的青睐。但是，中小型企业往往缺乏足够的资源去使用和支持SIEM解决方案——其原因就在于SIEM的部署和使用由于功能的强大而过于复杂。即使对于大企业而言，如果能够简化部署并且提供更有效的支持，也能够省下大量的成本。

　　QRadar能力：QRadar的部署与解决方案相当灵活。企业可以选择一体化服务，也可以根据自己的需求选择不同组件的功能。尽管选择的多样性很可能会让缺乏安全人才的中小企业望而却步，但是IBM自身的安全专家可以帮助中小企业找到最适合他们的解决方案。另外，IBM Security App Exchange也为企业提供可信的第三方解决方案，增强QRadar的灵活性以及附加安全能力。

　　IBM作为一家老牌的计算机公司，在对于计算机安全的理解上有着强大的底蕴。因此，QRadar在高级威胁的检测与响应上有着得天独厚的优势。从QRadar的能力上来看，我们可以发现SIEM产品的最大价值：就是通过实时的检测、分析海量的信息，给安全团队提炼出最有价值的信息，帮助安全团队更好地把握当前的安全状况，针对异常情况做出最合适的决定。所以，一款优秀的SIEM的基础就是有实时的检测能力、强大的分析能力以及简便的使用部署。而在这之上，则是需要对异常的出现做出合适的响应、针对更高级的攻击进行检测，同时对潜在可能成为的威胁——比如用户、应用，以及需要保护的对象——比如数据、设备进行监控与防护。另一方面，对于企业来说，成本也是很重要的考虑因素，QRadar产品相对其他同类能够达到类似效果的产品，成本上会显得更加合理。