【注：本文不是譯文，是本人自己的理解混雜引用Gartner的報告內容。】

2015年7月20日，Gartner發布了2015年度的SIEM市場分析報告（MQ）。

對比2014年：

可以看出來，Splunk異軍突起，已經超越了McAfee（Intel安全），綜合評分也略微強于HP Arcsight。至此，SIEM的新三強產生，分別是IBM、Splunk和HP，McAfee屈居第四，而Logrhythm也是步步緊逼。

此外，Tiboco/LogLogic和Tenable退出了SIEM排名，Gartner的說法是他們不再將其產品定位為SIEM產品，盡管他們還是提供了一些跟SIEM的用例重疊的功能，但更多的是與SIEM形成互補。

IBM依然是老大，我的觀點，Q1Lab的并購繼續表明其正確性，尤其是以Q1Lab為班底打造的IBM Security的組織架構安排，我覺得比HP整合Arcsight的安排高明很多【IBM是把大部分的安全業務給Q1團隊做，而HP是將Arcsight放進自己的安全業務團隊中】。IBM無論是技術表現還是其產品戰略布局都高于同行，而這也是我們學習的標桿，尤其是在產品布局這塊。BTW，我們也在進行從事件到流再到包分析的布局，并且也已有小成，呵呵。而且，我們也已經找到了“超車的彎道”。

Gartner對Arcsight的表現還算認可。在2014年總算了做了一些必要的更新。但即便如此，Arcsight還是太重型，Gartner認為其部署和運維的高復雜度還是被用戶頗多病垢。在最關鍵的技術指標評估方面，大部分技術指標（伸縮性、性能、預置規則有效性、定制便捷性、報表、查詢、產品質量與穩定性）都低于此次參評廠商的平均分，說明其技術表現并不好，幸虧靠業績和其他方面來找補。回顧Arcsight被HP并購后的這幾年，Garnter對他的評估其實可以用一句話來總結，就是——逐年退步。

Splunk本來定位并非僅針對安全，他本來是要做整個IT的企業級分析應用。安全只是其中一個應用領域（Splunk App for Enterprise Security）而已。但幾年下來，據我了解，營收的主要來源還是集中在安全上，看來他們的團隊還是更擅長網絡安全啊。Splunk跟其他幾個巨頭比，SIEM功能并非全面，更多是精于安全分析，但是在自定義安全規則、工作流處理方面就有欠缺了，Gartner建議客戶另購工作流系統與Splunk集成。并且，Splunk的授權模式導致其產品比別家更貴。

McAfee退出三強倒不是說他有什么大的退步，更多是因為Splunk的進步，McAfee是不僅則退。在多個技術指標評估中，其產品評分都低于平均分。

另外，RSA的表現也依然沒有起色，盡管已經用SA平臺取代了原來的enVision。我覺得可能是因為SA的核心并非日志處理與分析，花了更多力氣去搞全包捕獲與分析吧。而且，RSA將很多SIEM/SOC相關的高級功能都分擔到其他產品中去了。

還有一個大退步的廠商是NetIQ，我覺得主要原因就是被反復并購，折騰，從NetIQ自己的SIEM，到后來資本方被塞進來的Novell Sentinel，到現在又被塞進Micro Focus套件中。我估計他們的研發都疲憊了吧，客戶也暈了。NetIQ做的企業級IT軟件也夠全的了，但總是到不了更高的境界。

在SIEM市場方面，Gartner表示，2014年達到16.9億美元，比2013年的15億美元增長了12.4%，Gartner用“強勁”（Strong）來形容SIEM市場規模的增長。

Gartner認為SIEM的市場驅動力還是威脅管理與合規管理，技術發展方向也跟2014年時提及的基本相同，在威脅情報整合方面更加突出一些，包括其中一些廠商跟自家的威脅情報內容進行整合。

在大數據技術應用這塊，IBM，HP和RSA正在將他們的SIEM產品與自己的大數據技術進行整合，而McAfee和Splunk則與第三方的大數據技術進行整合。

最后，來看看SIEM市場的描述性定義。今年，Gartner稍微調整了這段話語（已經維持了3年了）。這句話現在是這么寫的：

The security information and event management (SIEM) market is defined by the customer's? need to apply security analytics to event data in real time for the early detection of targeted attacks and data breaches, and to collect, store, analyze and report on log data for incident response, forensics and regulatory compliance.

而在此前三年，都是這樣寫的：

The security information and event management (SIEM) market is defined by the customer's need to analyze security event data in real time for internal and external threat management, and to collect, store, analyze and report on log data for incident response, forensics and regulatory compliance.

不同之處在于：安全分析（Security Analytics）這個概念很火，SIEM要用到安全分析來提升自己，而APT和信息泄漏問題很嚴重，必須將它們作為SIEM的價值取向，比之前的“內部和外部威脅”的提法更具體。

當然，SIEM本質并未變化，就是措辭有些變化，值得關注一下。

【參考】

Gartner：2014年SIEM（安全信息與事件管理）市場分析

Gartner：2013年SIEM市場分析（MQ）

Gartner：2012年SIEM（安全信息與事件管理）市場分析報告

Gartner發布2011年SIEM市場分析報告（幻方圖）

評Gartner2010年安全信息和事件管理（SIEM）分析報告

Gartner公司對2009年安全信息和事件管理（SIEM）的分析報告

總結

以上是生活随笔為你收集整理的Gartner：2015年SIEM（安全信息与事件管理）市场分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。