SIEM行业现状调研

本文涉及的产品
对象存储 OSS,20GB 3个月
阿里云盘企业版 CDE,企业版用户数5人 500GB空间
对象存储 OSS,恶意文件检测 1000次 1年
简介: 本文就SIEM行业现状进行分析,比对了几家厂商的产品。

2021年6月,Gartner发布了2021年度的SIEM魔力象限分析(MQ)报告,对全球2020年的SIEM(security information and event management, 安全信息和事件管理)市场进行了分析和厂商评比。

SIEM市场定义

2021年Gartner 对SIEM的视角更具前瞻性,侧重于SIEM厂商是否满足最终用户未来需求的转型技术和方法。

Gartner将SIEM定义为满足以下客户需求的解决方案:

  • Collect security event logs and telemetry in real time for threat detection and compliance use cases.
  • Analyze telemetry in real time and over time to detect attacks and other activities of interest.
  • Investigate incidents to determine their potential severity and impact on a business.
  • Report on these activities.
  • Store relevant events and logs.

对比一下2019年的定义:

The security information and event management (SIEM) market is defined by customers’ need to analyze security event data in real time, which supports the early detection of attacks and breaches.

可以看到,新的定义强调了对遥测数据(telemetry)的采集与分析,还强调了安全事件调查(incident investigation)。

SIEM厂商分析

魔力象限

魔力象限是Gartner对行业中的供应商进行评估比较的一个工具,基于行业市场中各供应商的执行力和前瞻性表现,生成魔力象限图和相应的分析报告。其中,纵轴为供应商的“执行力”(Ability to Execute),用于评估供应商将其愿景变成市场现实的能力;横轴为供应商的“前瞻性”(Completeness of Vision)。最终,结合企业的执行力和前瞻性评估,将供应商划分到领导者(LEADERS)、挑战者(CHALLENGERS)、有远见者(VISIONARIES)和特定领域者(Niche Players)四个象限。

SIEM魔力象限

厂商分析

接下来主要从产品/解决方案、Add-on产品、主要优势、注意事项四个维度,罗列了2021年Gartner MQ for SIEM中的几款重要产品。

Exabeam

Exabeam 在魔力象限中处于领先地位。总部位于美国加利福尼亚州福斯特城,大部分客户位于北美,其次是欧洲、亚太地区和拉丁美洲。大多数客户是大型企业,但也有一些中型客户。Exabeam 的 SIEM 解决方案本地部署、SaaS(Exabeam Fusion SIEM),也可用于混合部署。

产品/解决方案

Add-on产品

主要优势

  • 长期、可搜索的日志存储:Exabeam Cloud Archive提供长达10年的存储和查询。
  • 可定制的模块化体系架构。
  • Exabeam 的机器学习 (ML) 驱动的用户和实体行为检测,能够为用户和实体提供风险评分和自动上下文富化。

注意事项

  • 生态:无自有EDR、网络探测产品,而是依赖于与第三方的集成。
  • SaaS服务区域化限制。

Securonix

Securonix在魔力象限处于领先地位,是一个云端安全服务平台,针对网络攻击、内部威胁、欺诈风险、应用安全、物联网等问题和领域提供服务。

产品/解决方案

  • Next-Gen SIEM
  • Security Data Lake
  • UEBA
  • SOAR
  • Threat Intelligence
  • Adversary behavior analytics

Add-on产品

  • NDR
  • use-case specific apps
  • Remote Ingestor Node(RIN)

主要优势

  • 数据隐私控制
  • 基于角色访问控制
  • 数据灵活屏蔽
  • 取消屏蔽工作流
  • 威胁情报(TI)
  • 原生威胁情报平台
  • 第三方威胁情报产品集成

注意事项

  • 平台部署与管理复杂
  • 本地大规模部署的可扩展性

IBM

产品/解决方案

  • QRadar Security Intelligence Platform
  • QRadar Vulnerability Manager
  • QRadar Network Insights
  • QRadar Risk Manager
  • QRadar User Behavior Analytics (UBA)
  • QRadar Incident Forensics
  • QRadar Advisor with Watson
  • IBM Resilient(SOAR)

Add-on产品

  • Guardium:数据安全
  • Trusteer:邮件安全
  • X-Force Threat Intelligence
  • Cloud Pak for Securtiy
  • Verify Access
  • Privileged Identity Manager

主要优势

  • 数据采集事件(events)筛选能力
  • 分析规则易于实施与管理
  • Use Case Manager(UCM)
  • 规则编辑、起停、复制等

注意事项

  • 缺乏原生协作与聊天功能
  • Resilient、Advisor集成并额外付费事件响应:优先级排序、调查、情境构建和其他响应操作

Splunk

Splunk是魔力象限的领导者。Splunk 的安全产品组合连续多年被 Gartner 市场研究公司评为业界领先技术。通过“将数据转化为一切(Data-to-Everything)”平台,提供了一整套融合了SIEM、UEBA、SOAR的完整解决方案。

产品/解决方案

Add-on产品

  • Splunkbase apps
  • Splunkbase 拥有 1000 多个来自 Splunk、合作伙伴和社区的应用程序。

主要优势

  • 第三方工具集成生态
  • 集中式通用数据收集与分析方法

注意事项

  • 价格偏贵
  • 缺少整体云原生安全运营套件。UEBA、SOAR不支持云原生。
  • Splunk Cloud区域性限制

LogRhythm

LogRhythm 在魔力象限中处于领先地位。 其总部位于美国科罗拉多州博尔德。其 SIEM 平台包括多个附加组件,可提供端点、网络和用户行为分析功能。 其大部分 SIEM 客户位于北美和欧洲,其余客户位于亚太地区、中东和非洲以及拉丁美洲。有云托管部署选项,但大多数客户在本地部署其平台。

产品/解决方案

主要优势

  • 成熟完善的调查与案例工作流
  • 全球范围内各行业合规报告

注意事项

  • 云原生支持能力有限

Rapid7

产品/解决方案

主要优势

  • 多安全产品集成统一平台
  • 监控、调查与响应服务托管

注意事项

  • 合规支持广度不足
  • 区域可用性限制
  • 定制化能力不足

Elastic

Elastic处于魔力象限中特定领域者的位置。Elastic以开源为基础,通过Logstash、Elasticsearch、Kibana组合奠定了数据的基本采集、分析、可视化能力。其中,Logstash作为一个日志聚合器,可以收集和处理来自几乎任何数据源的数据;Elasticsearch是存储引擎,用于解析大量数据;Kibana作为可视化层,用于可视化处理及问题分析。Elastic 7.14 版发布了首个免费开放的Limitless XDR,能够在一个平台中提供一体化的 SIEM 和 Endpoint Security 功能。

产品/解决方案

主要优势

  • 依托开源优势,有不错的用户基础。
  • 检测内容来源多样。
  • 支持威胁搜寻活动(Kibana Lens)。

注意事项

  • 缺乏开箱即用的合规支持
  • 产品用户体验不够一致

Sumo Logic

Sumo Logic 是魔力象限中的远见者。 Sumo Logic 总部位于美国加利福尼亚州红木城,Sumo Logic 的大部分 SIEM 客户都在北美,其次是亚太地区和欧洲。

产品/解决方案

LogPoint

产品/解决方案

SIEM趋势

  • 云SIEM(即SaaS SIEM)成为趋势。
  • Gartner认为,到2024年,80%的SIEM厂商将推出云原生和SaaS化的SIEM版本,而目前这里比例为40%。
  • 安全能力整合:
  • 如何将SIEM与XDR、UEBA、SOAR、威胁情报、ML技术深度整合。
目录
相关文章
|
1月前
|
监控 安全 测试技术
2024年度云治理企业成熟度发展报告解读(三)五大支柱关键数据解读
本文深入分析了安全、稳定、成本、性能、运行等云治理五大支柱的关键数据,指出身份安全关注度显著提升,成为企业云计算中的核心焦点。
2024年度云治理企业成熟度发展报告解读(三)五大支柱关键数据解读
|
1月前
|
人工智能 安全 BI
2024年度云治理企业成熟度发展报告解读(一)云市场发展洞察
从2023年开始,阿里云携手埃森哲每年发布《云治理企业成熟度年度发展报告》,通过数据来解读企业在云上的稳定性、安全、效率、成本等方面的发展现状,并反映各行业头部客户的技术演进趋势。该报告已成为了解中国云计算行业发展趋势的重要参考。这次,埃森哲将带来最新出炉的2024年度发展趋势报告(导读版)解读。
2024年度云治理企业成熟度发展报告解读(一)云市场发展洞察
|
开发者
《中国开发者画像洞察报告2022》——02 开发者面临的挑战——2.1 新⾏业
《中国开发者画像洞察报告2022》——02 开发者面临的挑战——2.1 新⾏业
|
机器学习/深度学习 数据可视化 数据挖掘
2021年应该为十大商业智能趋势做好准备
在过去的20年中,商业智能在很多方面都发生了革命性的变化。由于很多组织都在采用这项技术,商业智能的一些趋势预计将在未来一年中发生变化。
141 0
|
存储 人工智能 监控
应急管理大数据社会化治理体系下媒体数据的价值
近年来,我国应急安全管理工作取了了巨大的成绩,但是,从一些突发应急安全事件处置的情况来看,我们的应急安全处置能力建设尚存在很多短板。当前,我国全社会上下正在进行一场数字化、智能化革命,将数字化和智能化技术引入应急安全管理领域,是提高我国应急安全管理水平,增强对应急安全事件处置能力,最大程度减少应急安全事件对我国社会的所造成的的生命和财产损失的必然选择。
585 0
应急管理大数据社会化治理体系下媒体数据的价值
|
传感器 机器学习/深度学习 存储