2021年6月,Gartner发布了2021年度的SIEM魔力象限分析(MQ)报告,对全球2020年的SIEM(security information and event management, 安全信息和事件管理)市场进行了分析和厂商评比。
SIEM市场定义
2021年Gartner 对SIEM的视角更具前瞻性,侧重于SIEM厂商是否满足最终用户未来需求的转型技术和方法。
Gartner将SIEM定义为满足以下客户需求的解决方案:
- Collect security event logs and telemetry in real time for threat detection and compliance use cases.
- Analyze telemetry in real time and over time to detect attacks and other activities of interest.
- Investigate incidents to determine their potential severity and impact on a business.
- Report on these activities.
- Store relevant events and logs.
对比一下2019年的定义:
The security information and event management (SIEM) market is defined by customers’ need to analyze security event data in real time, which supports the early detection of attacks and breaches.
可以看到,新的定义强调了对遥测数据(telemetry)的采集与分析,还强调了安全事件调查(incident investigation)。
SIEM厂商分析
魔力象限
魔力象限是Gartner对行业中的供应商进行评估比较的一个工具,基于行业市场中各供应商的执行力和前瞻性表现,生成魔力象限图和相应的分析报告。其中,纵轴为供应商的“执行力”(Ability to Execute),用于评估供应商将其愿景变成市场现实的能力;横轴为供应商的“前瞻性”(Completeness of Vision)。最终,结合企业的执行力和前瞻性评估,将供应商划分到领导者(LEADERS)、挑战者(CHALLENGERS)、有远见者(VISIONARIES)和特定领域者(Niche Players)四个象限。
SIEM魔力象限
厂商分析
接下来主要从产品/解决方案、Add-on产品、主要优势、注意事项四个维度,罗列了2021年Gartner MQ for SIEM中的几款重要产品。
Exabeam
Exabeam 在魔力象限中处于领先地位。总部位于美国加利福尼亚州福斯特城,大部分客户位于北美,其次是欧洲、亚太地区和拉丁美洲。大多数客户是大型企业,但也有一些中型客户。Exabeam 的 SIEM 解决方案本地部署、SaaS(Exabeam Fusion SIEM),也可用于混合部署。
产品/解决方案
- Data Lake
- Advanced Analytics
- Threat Hunter
- Entity Analytics
- Case Manager
- Incident Responder
Add-on产品
- Cloud Connectors
- Cloud Archive
主要优势
- 长期、可搜索的日志存储:Exabeam Cloud Archive提供长达10年的存储和查询。
- 可定制的模块化体系架构。
- Exabeam 的机器学习 (ML) 驱动的用户和实体行为检测,能够为用户和实体提供风险评分和自动上下文富化。
注意事项
- 生态:无自有EDR、网络探测产品,而是依赖于与第三方的集成。
- SaaS服务区域化限制。
Securonix
Securonix在魔力象限处于领先地位,是一个云端安全服务平台,针对网络攻击、内部威胁、欺诈风险、应用安全、物联网等问题和领域提供服务。
产品/解决方案
- Next-Gen SIEM
- Security Data Lake
- UEBA
- SOAR
- Threat Intelligence
- Adversary behavior analytics
Add-on产品
- NDR
- use-case specific apps
- Remote Ingestor Node(RIN)
主要优势
- 数据隐私控制
- 基于角色访问控制
- 数据灵活屏蔽
- 取消屏蔽工作流
- 威胁情报(TI)
- 原生威胁情报平台
- 第三方威胁情报产品集成
注意事项
- 平台部署与管理复杂
- 本地大规模部署的可扩展性
IBM
产品/解决方案
- QRadar Security Intelligence Platform
- QRadar Vulnerability Manager
- QRadar Network Insights
- QRadar Risk Manager
- QRadar User Behavior Analytics (UBA)
- QRadar Incident Forensics
- QRadar Advisor with Watson
- IBM Resilient(SOAR)
Add-on产品
- Guardium:数据安全
- Trusteer:邮件安全
- X-Force Threat Intelligence
- Cloud Pak for Securtiy
- Verify Access
- Privileged Identity Manager
主要优势
- 数据采集事件(events)筛选能力
- 分析规则易于实施与管理
- Use Case Manager(UCM)
- 规则编辑、起停、复制等
注意事项
- 缺乏原生协作与聊天功能
- Resilient、Advisor集成并额外付费事件响应:优先级排序、调查、情境构建和其他响应操作
Splunk
Splunk是魔力象限的领导者。Splunk 的安全产品组合连续多年被 Gartner 市场研究公司评为业界领先技术。通过“将数据转化为一切(Data-to-Everything)”平台,提供了一整套融合了SIEM、UEBA、SOAR的完整解决方案。
产品/解决方案
Add-on产品
- Splunkbase apps
- Splunkbase 拥有 1000 多个来自 Splunk、合作伙伴和社区的应用程序。
主要优势
- 第三方工具集成生态
- 集中式通用数据收集与分析方法
注意事项
- 价格偏贵
- 缺少整体云原生安全运营套件。UEBA、SOAR不支持云原生。
- Splunk Cloud区域性限制
LogRhythm
LogRhythm 在魔力象限中处于领先地位。 其总部位于美国科罗拉多州博尔德。其 SIEM 平台包括多个附加组件,可提供端点、网络和用户行为分析功能。 其大部分 SIEM 客户位于北美和欧洲,其余客户位于亚太地区、中东和非洲以及拉丁美洲。有云托管部署选项,但大多数客户在本地部署其平台。
产品/解决方案
- NextGen SIEM Platform( DetectX、AnalytiX 、RespondX )
- LogRhythm Cloud
- UserXDR
- MistNet Network Detection and Response (NDR)
主要优势
- 成熟完善的调查与案例工作流
- 全球范围内各行业合规报告
注意事项
- 云原生支持能力有限
Rapid7
产品/解决方案
- Rapid7 insightIDR(SIEM&UEBA)
- Rapid7 insightConnect(SOAR)
- Rapid7 insightOps(It运营日志管理)
- Rapid7 InsightVM(漏洞评估)
- Enhanced Network Traffic Analysis
- Rapid7 InsightAppSec(应用安全)
- Rapid7 InsightCloudSec(云安全)
- Rapid7 DivvyCloud(云安全态势感知)
主要优势
- 多安全产品集成统一平台
- 监控、调查与响应服务托管
注意事项
- 合规支持广度不足
- 区域可用性限制
- 定制化能力不足
Elastic
Elastic处于魔力象限中特定领域者的位置。Elastic以开源为基础,通过Logstash、Elasticsearch、Kibana组合奠定了数据的基本采集、分析、可视化能力。其中,Logstash作为一个日志聚合器,可以收集和处理来自几乎任何数据源的数据;Elasticsearch是存储引擎,用于解析大量数据;Kibana作为可视化层,用于可视化处理及问题分析。Elastic 7.14 版发布了首个免费开放的Limitless XDR,能够在一个平台中提供一体化的 SIEM 和 Endpoint Security 功能。
产品/解决方案
主要优势
- 依托开源优势,有不错的用户基础。
- 检测内容来源多样。
- 支持威胁搜寻活动(Kibana Lens)。
注意事项
- 缺乏开箱即用的合规支持
- 产品用户体验不够一致
Sumo Logic
Sumo Logic 是魔力象限中的远见者。 Sumo Logic 总部位于美国加利福尼亚州红木城,Sumo Logic 的大部分 SIEM 客户都在北美,其次是亚太地区和欧洲。
产品/解决方案
- Cloud Security Monitoring & Analytics
- Audit and Compliance
- Cloud SIEM
- Cloud SOAR
- Compliance Monitoring Platform
LogPoint
产品/解决方案
SIEM趋势
- 云SIEM(即SaaS SIEM)成为趋势。
- Gartner认为,到2024年,80%的SIEM厂商将推出云原生和SaaS化的SIEM版本,而目前这里比例为40%。
- 安全能力整合:
- 如何将SIEM与XDR、UEBA、SOAR、威胁情报、ML技术深度整合。