SIEM行業現狀調研

2021年6月，Gartner釋出了2021年度的SIEM魔力象限分析（MQ）報告，對全球2020年的SIEM（security information and event management， 安全資訊和事件管理）市場進行了分析和廠商評比。

SIEM市場定義

2021年Gartner 對SIEM的視角更具前瞻性，側重于SIEM廠商是否滿足最終使用者未來需求的轉型技術和方法。

Gartner将SIEM定義為滿足以下客戶需求的解決方案：

• Collect security event logs and telemetry in real time for threat detection and compliance use cases.
• Analyze telemetry in real time and over time to detect attacks and other activities of interest.
• Investigate incidents to determine their potential severity and impact on a business.
• Report on these activities.
• Store relevant events and logs.

對比一下2019年的定義：

The security information and event management (SIEM) market is defined by customers’ need to analyze security event data in real time, which supports the early detection of attacks and breaches.

可以看到，新的定義強調了對遙測資料（telemetry）的采集與分析，還強調了安全事件調查（incident investigation）。

SIEM廠商分析

魔力象限

魔力象限是Gartner對行業中的供應商進行評估比較的一個工具，基于行業市場中各供應商的執行力和前瞻性表現，生成魔力象限圖和相應的分析報告。其中，縱軸為供應商的“執行力”（Ability to Execute），用于評估供應商将其願景變成市場現實的能力；橫軸為供應商的“前瞻性”（Completeness of Vision）。最終，結合企業的執行力和前瞻性評估，将供應商劃分到上司者（LEADERS）、挑戰者（CHALLENGERS）、有遠見者（VISIONARIES）和特定領域者（Niche Players）四個象限。

SIEM魔力象限

廠商分析

接下來主要從産品/解決方案、Add-on産品、主要優勢、注意事項四個次元，羅列了2021年Gartner MQ for SIEM中的幾款重要産品。

Exabeam

Exabeam 在魔力象限中處于領先地位。總部位于美國加利福尼亞州福斯特城，大部分客戶位于北美，其次是歐洲、亞太地區和拉丁美洲。大多數客戶是大型企業，但也有一些中型客戶。Exabeam 的 SIEM 解決方案本地部署、SaaS(Exabeam Fusion SIEM)，也可用于混合部署。

産品/解決方案

• Data Lake
• Advanced Analytics
• Threat Hunter
• Entity Analytics
• Case Manager
• Incident Responder

Add-on産品

• Cloud Connectors
• Cloud Archive

主要優勢

• 長期、可搜尋的日志存儲：Exabeam Cloud Archive提供長達10年的存儲和查詢。
• 可定制的子產品化體系架構。
• Exabeam 的機器學習 (ML) 驅動的使用者和實體行為檢測，能夠為使用者和實體提供風險評分和自動上下文富化。

注意事項

• 生态：無自有EDR、網絡探測産品，而是依賴于與第三方的內建。
• SaaS服務區域化限制。

Securonix

Securonix在魔力象限處于領先地位，是一個雲端安全服務平台，針對網絡攻擊、内部威脅、欺詐風險、應用安全、物聯網等問題和領域提供服務。

• Next-Gen SIEM
• Security Data Lake
• UEBA
• SOAR
• Threat Intelligence
• Adversary behavior analytics

• NDR
• use-case specific apps
• Remote Ingestor Node（RIN）

• 資料隐私控制
• 基于角色通路控制
• 資料靈活屏蔽
• 取消屏蔽工作流
• 威脅情報（TI）
• 原生威脅情報平台
• 第三方威脅情報産品內建

• 平台部署與管理複雜
• 本地大規模部署的可擴充性

IBM

• QRadar Security Intelligence Platform
• QRadar Vulnerability Manager
• QRadar Network Insights
• QRadar Risk Manager
• QRadar User Behavior Analytics (UBA)
• QRadar Incident Forensics
• QRadar Advisor with Watson
• IBM Resilient（SOAR）

• Guardium：資料安全
• Trusteer：郵件安全
• X-Force Threat Intelligence
• Cloud Pak for Securtiy
• Verify Access
• Privileged Identity Manager

• 資料采集事件（events）篩選能力
• 分析規則易于實施與管理
• Use Case Manager（UCM）
• 規則編輯、起停、複制等

• 缺乏原生協作與聊天功能
• Resilient、Advisor內建并額外付費事件響應：優先級排序、調查、情境建構和其他響應操作

Splunk

Splunk是魔力象限的上司者。Splunk 的安全産品組合連續多年被 Gartner 市場研究公司評為業界領先技術。通過“将資料轉化為一切(Data-to-Everything)”平台，提供了一整套融合了SIEM、UEBA、SOAR的完整解決方案。

• Splunk Enterprise
• Splunk Cloud
• Enterprise Security
• Mission Control
• UEBA（非原生）
• SOAR（非原生）（Phantom）

• Splunkbase apps
• Splunkbase 擁有 1000 多個來自 Splunk、合作夥伴和社群的應用程式。

• 第三方工具內建生态
• 集中式通用資料收集與分析方法

• 價格偏貴
• 缺少整體雲原生安全營運套件。UEBA、SOAR不支援雲原生。
• Splunk Cloud區域性限制

LogRhythm

LogRhythm 在魔力象限中處于領先地位。 其總部位于美國科羅拉多州博爾德。其 SIEM 平台包括多個附加元件，可提供端點、網絡和使用者行為分析功能。 其大部分 SIEM 客戶位于北美和歐洲，其餘客戶位于亞太地區、中東和非洲以及拉丁美洲。有雲托管部署選項，但大多數客戶在本地部署其平台。

• NextGen SIEM Platform （ DetectX、AnalytiX 、RespondX ）
• LogRhythm Cloud
• UserXDR
• MistNet Network Detection and Response (NDR)

• 成熟完善的調查與案例工作流
• 全球範圍内各行業合規報告

• 雲原生支援能力有限

Rapid7

• Rapid7 insightIDR （SIEM&UEBA）
• Rapid7 insightConnect （SOAR）
• Rapid7 insightOps （It營運日志管理）
• Rapid7 InsightVM （漏洞評估）
• Enhanced Network Traffic Analysis
• Rapid7 InsightAppSec （應用安全）
• Rapid7 InsightCloudSec （雲安全）
• Rapid7 DivvyCloud （雲安全态勢感覺）

• 多安全産品內建統一平台
• 監控、調查與響應服務托管

• 合規支援廣度不足
• 區域可用性限制
• 定制化能力不足

Elastic

Elastic處于魔力象限中特定領域者的位置。Elastic以開源為基礎，通過Logstash、Elasticsearch、Kibana組合奠定了資料的基本采集、分析、可視化能力。其中，Logstash作為一個日志聚合器，可以收集和處理來自幾乎任何資料源的資料；Elasticsearch是存儲引擎，用于解析大量資料；Kibana作為可視化層，用于可視化處理及問題分析。Elastic 7.14 版釋出了首個免費開放的Limitless XDR，能夠在一個平台中提供一體化的 SIEM 和 Endpoint Security 功能。

• Elastic Security
• Elastic SIEM
• Endpoint security
• Kibana Lens

• 依托開源優勢，有不錯的使用者基礎。
• 檢測内容來源多樣。
• 支援威脅搜尋活動（Kibana Lens）。

• 缺乏開箱即用的合規支援
• 産品使用者體驗不夠一緻

Sumo Logic

Sumo Logic 是魔力象限中的遠見者。 Sumo Logic 總部位于美國加利福尼亞州紅木城，Sumo Logic 的大部分 SIEM 客戶都在北美，其次是亞太地區和歐洲。

• Cloud Security Monitoring & Analytics
• Audit and Compliance
• Cloud SIEM
• Cloud SOAR
• Compliance Monitoring Platform

LogPoint

• LogPoint SIEM
• LogPoint UEBA
• LogPoint SOAR
• LogPoint for SAP

SIEM趨勢

• 雲SIEM（即SaaS SIEM）成為趨勢。
• Gartner認為，到2024年，80%的SIEM廠商将推出雲原生和SaaS化的SIEM版本，而目前這裡比例為40%。
• 安全能力整合：
• 如何将SIEM與XDR、UEBA、SOAR、威脅情報、ML技術深度整合。