【注：本文不是译文，结合了大量笔者自己的体会和判断，请勿将此文观点当作Gartner观点】

2022年10月10日，据称由于参评厂商的原因，原定8月份发布的Gartner SIEM市场魔力象限（MQ）终于发布了。这也是三位分析师首次撰写SIEM MQ报告。从2005年Gartner第一份SIEM MQ报告至今，已经过去了17年【笔者也从那时起跟踪了每份SIEM MQ报告】。该报告的首任主笔分析师是Mark Nicolett，从2014年开始Kelly Kavanagh从副笔转正成为第二任主笔分析师直至2021年底离职。从今年开始，我们迎来了第三任主笔分析师Pete Shoard。

SIEM市场定义

既然更换了主笔分析师，SIEM的定义自然也被重新阐释，但内涵和去年基本一致：

SIEM将跨应用、网络、端点和云环境的各类监测、评估、检测及响应系统的事件数据聚合起来，以实现基于关联规则和UEBA的威胁检测，基于SOAR的响应集成，基于TIP的威胁内容持续更新和安全报表报告。SIEM主要以云服务方式（SaaS）部署，同时支持客户本地部署。

根据Gartner的定义，SOAR是SIEM产品的一个重要（虽非必要）功能。本次SIEM厂商评估时，一个重要的入选标准就是：必须以云原生或者SaaS方式交付SIEM能力，并且必须具备SOAR、TIP、UEBA和长期存储与报告4项能力中的至少2项。而这个入围标准和SIEM定义也明确表达出了Gartner对Cloud SIEM成为SIEM主流形态的观点。结合IDC的SIEM全球市场数据：2021年本地软件与SaaS模式的市场份额已经持平，IDC预计从今年开始，SaaS模式的市场将超越传统的本地软件方式。

厂商分析

可能是“换手如换刀”，2022年的SIEM MQ中厂商位置变化不小。在更高要求的入围指标下，有5个厂商下榜，仅新进1家厂商。领导者阵营也发生了较大变化。如下图所示：

对比去年的MQ矩阵：

可以发现：

10多年来，SIEM MQ矩阵的厂商分布基本都是沿着从领导者象限向左下深入到特定领域者象限的45°轴的两侧分布，但这次的厂商分布中，上述分布特征很不显著。以前笔者总能命名一下“三强”“两强”之类的，但这次给不出来了，只能说是团战吧。而这可能也印证了Gartner在报告中所说的：

SIEM市场正在快速迈向成熟，并持续处于高度竞争之中。五年前的SIEM跟现如今SIEM的内涵已经大相径庭。

The SIEM market is maturing at a rapid pace and continues to be extremely competitive. The reality of what SIEM was just five years ago is starting to detach from what SIEM is and provides today.

此份报告迟迟不能发布，跟厂商间的激烈竞争也不无关系。

离群的微软

首先，就是微软在愿景完整性上没有太大改变的情况下，执行能力获得了极大的提升，远超其他厂商。Gartner没有给出微软执行能力高的原因。根据Gartner的SIEM MQ评估标准，以及多份报告中对微软的评价，笔者估计，微软执行能力高的原因可能在于：1）微软的SIEM产品Sentinel过去一年的市场增长率达到158%，市占率取得了大幅提升（从5%到11%），跃居第三。2）快速演进的路线图，并且基本兑现，功能越来越强大。3）得益于微软庞大的服务支持体系以及对SIEM产品的重视，其SIEM产品的技术支持表现出色。4）Gartner已经明确表示SIEM的未来主流形态是SaaS化（Cloud SIEM），而微软在这方面很契合Gartner的判断。

微软还有一个特色在于将Sentinel与EDR/XDR类产品Defender整合营销。

Splunk和IBM回血

在2021年的SIEM MQ分析中，笔者指出Splunk的一大软肋在于云化不够。而今年，Splunk ES的SaaS产品（基于自己的Splunk Cloud）已经推出，且提供了一套更先进的授权模式（按算力的许可模式）。同时，可能是新任主笔的原因，他比较看重可观测性在SIEM中的体现。而Splunk本身具备的跨安全与IT的可观测性能力也给其加分不少。获得类似加分的产品还包括sumo logic。此外，Splunk的运营体验和用户体验有所提升，尤其是提供跨数据源的平滑和高效的联邦搜索能力。但是，依然受到诟病的还是价格、复杂性太高（对使用人的要求太高），以及北美市场之外的本地化支持不到位。最后，这次Splunk回血更多体现在执行能力的提升上，相信Splunk的全球市占率第一为其提供了不少支撑。

IBM在2021年也是大退步（2019年时IBM和Splunk是Top2）。今年位置也有所回升。同样主要体现在执行能力上。笔者估计原因在于：1）排名第二的市占率；2）积极云化。

有一点，不论Splunk和IBM如何回血，与其巅峰时期还是相去甚远。

Securonix波澜不惊

和去年相比，Securonix的位置基本没有变化，但他的优势已经没那么明显了。对于Securonix，比较有特色的，也是Gartner认为是未来SIEM发展方向的，在于其支持第三方的数据湖。它可以读取第三方数据湖中的安全数据，譬如Snowflake，并实现数据去中心化，以及联邦搜索。这种先进的架构有益于在大型客户那里跟客户自身的大数据中台或者数据编织架构进行整合。对此，笔者在分析Forrester的SAP市场格局报告的时候提到过（“如何在独立的大数据平台之上实施安全分析”）。而Securonix的问题方面有一个比较有趣的点。Gartner表示其发布的OpenXDR产品与其发布的NG SIEM让用户产生了混淆，分不清。如何处理好XDR与SIEM的关系，是一个问题。

Exabeam退步

同样始于UEBA，与Securonix相爱相杀的Exbeam在执行能力和愿景两个维度都滑坡了。此前多年以来，Exabeam在执行能力方面一直压Securonix一头。而今年，则在两个维度上都落后于Securonix。分析原因，可能在于：1）Exabeam的增长率减缓，且低于Securonix。2）安装部署复杂，需要更多的专业服务支持，增加了用户的成本。此外，Exabeam还存在以下问题：一是缺少原生的生态组件，EDR和NDR都只能是第三方的，没有自己的。二是自己的XDR和SIEM产品打架的问题，这点倒是跟Securonix一样。

LogRhythm和Rapid7退出领导者阵营

尤其是LogRhythm，近几年持续退步。如今终于步Arcsight（Micro Focus)后尘退出领导者阵营。究其原因，大抵是因为云化不给力。其实这几年LogRhythm一直在升级架构，不过还没有到位，估计也要经历一番Arcsight的痛苦过程吧。

Micro Focus知耻而后勇

今年，Micro Focus从第四象限进入了远见者象限。这表明，以Gartner的标准来衡量，好的方面是其重新把准了SIEM市场发展方向，但问题在于执行效果还是不足。经过持续多年的架构重构，Micro Focus的Arcsight逐步跟上了最新的技术潮流，终于有了SaaS版本，增加了TIP，整体UI也改进了，而收购而来的UEBA，SOAR功能整合的更好，也更符合Gartner对SIEM未来发展的研判。其实，Micro Focus的SIEM销量一直都在前四，并不低，但可能是因为被卖来卖去（根据2022年8月份的新闻，Micro Focus又被OpenText收购了），支持团队少不了动荡，势必导致执行效果不佳吧。

产品和市场分析

概述

SIEM产品继续不断吸纳新的功能，并正在转变架构策略以适应客户需求。这种需求的最终指向就是云化（包括云原生化和云托管/云寄生化，合称Cloud SIEM）。而新功能包括SOAR、UEBA、TIP、自服务安全分析、持续威胁内容创建、Incident管理，等等。

根据Gartner的估计，SIEM市场从2020年的34.1亿美元增长到了2021年的41亿美元，取得了20%的增长率。SIEM的基本驱动力是检测、响应、暴露管理，以及合规。客户希望SIEM能够在宽度和深度两个方面同时满足其安全与业务的需要。因此，SIEM的四大核心能力是：检测、响应、暴露管理、合规。

• 检测：实时分析、批式分析、数据科学算法、UEBA
  

• 响应：SOAR、Incident管理、协作

• 暴露管理：资产盘点（重要性、分组、位置、补丁状态等）、用户盘点（重要性、对等组、业务单元、角色、历史事件等）、配置状态、多云可见性和统一的暴露管理、与威胁检测框架对齐

• 合规：报表报告、持续监测、审计

Cloud SIEM的问题

Gartner在去年就已经指明了这个方向，在笔者去年的SIEM MQ分析中有对Cloud SIEM的定义和分类，以及各个厂商的云化情况分析，这里不再赘述。

从今年的报告来看，Cloud SIEM已经成为SIEM的首要形态，这也意味着SIEM的架构发生了重大变化。这种云化的好处不仅是顺应云时代和远程办公时代的需要，更重要的是为了降低SIEM自身的部署和维护的负担，将重点投入到基于SIEM的安全运行上。因为，我们以往对SIEM最大的诟病之一就是使用太复杂。而这种复杂体现在两个方面：一个是部署和维护，一个是使用和运行。而云化可以消除部署和维护的复杂性。云化对中小企业尤其适合。根据Gartner在全球市场的调研，中小客户对于SIEM类需求首选Cloud SIEM。同时，结合其他相关分析，中小客户在优先考虑Cloud SIEM之外还包括MSS/MDR，以及XDR。同时，客户本地部署的SIEM依然还有较大市场（譬如在中国市场大部分都是这种模式），尤其是那些对数据主权和隐私有关切的客户们。围绕这种本地部署的SIEM，共管SIEM服务（co-managed SIEM services）大有可为。

XDR的挑战问题

SIEM将继续与XDR竞争。对于那些安全运行成熟不高的企业（相当一部分中小型企业和部分较大型企业）而言，选择一种较为全面的、预先整合或者打包好的威胁检测与响应解决方案，能够减轻他们的负担。这种情况下，XDR可以与SIEM竞争，且往往更具优势。

笔者认为，这种优势体主要体现在：1）通过预先整合多种单点检测功能（譬如EDR，NDR等），并将检测与响应场景简化和固化，降低了传统SIEM的开放式单点检测功能集成的难度，从而更容易出效果。2）预先整合和固定打法能够更好地对产生的告警信息进行分诊和研判，提升安全事件的精度，降低误报，减轻分析师的告警疲劳；而传统SIEM由于太过灵活，在智能分析水平没有根本性提升的情况下面对海量告警难有起色。3）XDR的预先整合的做法顺应了当下供应商整合的大潮，能够降低用户的总拥有成本。在《SIEM的未来》一文中，笔者对XDR的产生有更详细的阐述。

很显然，XDR优势的取得并不是依靠比SIEM更先进的技术，而更多是能力的精简、检测响应战法的固化。也因此，SIEM厂商面对XDR的叫板显然不服，纷纷出招。一种典型的做法就是基于自身的SIEM进行剪裁，并适当引进一些遥测技术，推出自己的XDR产品。Exabeam和Securonix就是这样做的。这种做法很取巧，其GTM策略说的通俗一点，就是“到哪座山唱哪支歌”，根据用户和对手的情况灵活应变。但副作用就是有时候会出现“左右互搏”的尴尬，不过好在规避和缓解的方式还比较多【笔者注：抛开SIEM和XDR，国内综合性安全厂商面对这类矛盾的情况比比皆是，很多产品都有此问题，不足为奇】。还有一种做法是SIEM厂商将XDR更多看作是一种高级的、下一代的威胁检测与响应产品，将其置于SIEM之下。这类SIEM厂商的XDR产品往往是在自有的或者引进的EDR上进行扩展，形成XDR，或者将现有的若干种检测技术打包，形成所谓的XDR。然后，将XDR的结果送给SIEM，依旧发挥SIEM的安管平台、统一管控的作用。譬如微软就是这样做的，其XDR可以看作是其EDR的升级版。IBM则将其收购的EDR产品稍加改造，形成XDR。Fortinet亦是如此。

反过来，有一些XDR厂商，他们也并没有将自己的XDR直接当作SIEM，而是另行推出SIEM产品，譬如PAN。

上述厂商的举动也揭示了未来SIEM与XDR的两种可能的共存关系（按用户成熟度区分、按能力区分）。IDC也发现了这个迹象。IDC表示，“目前为止，XDR尚未对SIEM市场产生实质性影响，因为他们尚未发展为全功能的SIEM替代品，XDR发展了一种与SIEM的共生关系”。IDC表示自己高估了XDR对SIEM市场的冲击。根据IDC的预测数据，未来5年，尽管XDR的增长率高达70%，远大于SIEM的增长率，并且还会蚕食部分本属于SIEM的市场，但是SIEM和XDR市场都将增长。

同时，Gartner也一直表示XDR可能不会取代SIEM。

就目前笔者的观察，在试图取代SIEM之前，XDR在威胁检测与响应这个领域无论是宽度还是深度还有很多事情要去做。而国际上的一部分SIEM在满足大型成熟用户方面正在向更高级的威胁检测与响应能力迈进（Gartner称之为TDIR），还有一部分SIEM也在越来越向中国语境下的安全管理平台和态势感知方面的能力扩展和深化。从TDIR视角来看，XDR与SIEM（TDIR）会面向不同成熟度的用户而并存；从安管平台视角来看，XDR与SIEM（安管平台）会形成互补关系而并存。

但是，这并不代表SIEM和XDR未来一定共存，一切皆有可能。

还有，根据Gartner对未来CSMA（网络安全网格架构）的展望，XDR也好，SIEM也罢，都不会位于CSMA的C位。

SOAR融合问题

如前所述，SOAR被Gartner认为是SIEM的一个重要功能。没有SOAR，SIEM还可以称为SIEM，但有SOAR的SIEM将大大优于无SOAR的SIEM。Gartner在对厂商进行分析时，如果这个厂商有SOAR，往往就会将其列入3个优势能力之一；而如果这个厂商没有SOAR，很大概率就会在其列为劣势【注意：SIEM MQ中每个厂商仅列举3个优势，3个劣势，可见SOAR的价值】。

目前，SIEM厂商有2种形式跟SOAR结合：1）SIEM产品中内置一个附加的SOAR模块，通常这个SOAR模块的能力会比较简单；2）SIEM产品和自己的SOAR产品打包成一个套件或者解决方案，将大SIEM从单体架构变成多体架构。此外，还有一些SIEM厂商和第三方SOAR产品形成合作结盟，这种方式不算结合。从SIEM MQ来看，目前几乎所有上榜厂商都实现了跟SOAR的结合。领导者阵营中，IBM和Splunk都采用第二种形式实现SIEM与SOAR的结合，而微软、Securonix和Exabeam则内置SOAR（第一种形式）。SIEM MQ中尚未实现与SOAR结合的产品是Devo，Elastic和ManageEngine，而他们恰恰都在各自的劣势中体现了出来。

集成EM（暴露管理）的问题

Gartner表示，现在的SIEM已经广泛集成暴露管理的能力，将暴露管理中的数据去丰富化安全事件，实现情境感知、风险评估、业务安全评估，提升安全产出的价值。

根据Garnter的定义，暴露管理包括三个部分：攻击面管理（涉及EASM、CAASM、DRPS）、弱点管理（涉及RBVM、VPT、VA）、安全验证（涉及PENTEST、BAS、红蓝对抗）。

我们看到，包括国内，ASM越来越火，SIEM中原有的资产管理模块可以看作是早期ASM的一个雏形。尤其是SIEM原有的资产模型设计。但SIEM的资产管理功能太弱，不够深入。因此，ASM的出现，又形成了一种将SIEM中现有资产管理模块的部分能力剥离出去，由独立的ASM承担的趋势。这就像用SOAR去置换现有SIEM中简易的设备联动响应功能一样。这也为我们展示了未来SIEM从单体架构向多体架构演进的一种趋势。而这个趋势也正好印证了Gartner的CSMA（这里的Mesh就代表了多体之间的连接）的设想。

写在最后

SIEM技术、产品和市场又开始了新的一轮迭代演进。SIEM技术价值重要，是安全管理平台的核心和基础，也是态势感知的基础，更是安全运行和运营的基础。

笔者认为，从技术架构上看，SIEM的发展有两个趋势：1）从单体向多体的转变（譬如SIEM功能的解耦与构件化、联邦搜索、与独立大数据平台的对接）；2）从本地向云原生的转变（譬如容器化、弹性扩展、分布式、多租户）。

从功能设计上看，SIEM的发展必须把握两个方向：1）面向分析师体验（AX）的设计，易用，易用，更易用！2）更广泛的连接，连接，再连接！

逆水行舟，不进则退！

【参考】

Gartner：2021年SIEM（安全信息与事件管理）市场分析

SIEM的未来