Gartner：2019年SIEM（安全信息與事件管理）市場分析

【做者按】關注安管平臺，必須關注SIEM！19年來，筆者關注過Gartner每份SIEM魔力象限報告。從2005年Gartner發佈第一份SIEM MQ到2019年有15年了，而在2002年到2005年間這個市場被叫IT安全管理。說到這裏，又讓我想起了2003年作的安管平臺調研報告。

注意，本文不是譯文，內容也不只MQ報告自己，還有其它資料來源。本文內容主要是做者本身的理解和感想，若是想要了解MQ報告原始信息，請另行搜索報告。

下面讓咱們一瞥2019年的報告吧。本文首發於本人的微信公衆號，歡迎關注。

Gartner：2019年SIEM（安全信息與事件管理）市場分析

 Benny Ye

2020年2月18日，Gartner終於發佈了2019年度的SIEM市場魔力象限分析（MQ）報告，比原定2019年12月底的發佈時間推遲了近3個月，拖到了2020年，以致於有人直接將這份報告稱做2020年SIEM MQ報告（提及來也對）。順便提一句，在2016年及之前，SIEM MQ通常都是在8月份發佈，2017年本來也是如此，但因爲各類緣由推遲到了12月，此後2018年也是在12月發佈。此次乾脆跳票到了次年2月份，不知道再日後的調研及發佈時間會如何安排。

 

今年的報告中，Gartner對SIEM的定義作了一點微調，刪除了幾個詞。SIEM被定義爲實時地分析安全事件數據，以知足用戶對於攻|擊和泄露進行早期檢測的須要。SIEM系統對安全數據進行收集、存儲、調查，並支持緩解和報告，以實現事件應急響應、取證與合規。原文前半部分以下：

The security information and event management (SIEM) market is defined by customers’ need to analyze security event data in real time, which supports the early detection of attacks and breaches.

而在2018年的報告中，則是這麼寫的：

Gartner defines the security and information event management (SIEM) market by the customer’s need to analyze event data in real time for early detection of targeted attacks and data breaches.

去掉「定向」和「數據」兩個詞的用意在於擴大了攻|擊和泄露的範疇。

 

2019年度的SIEM MQ矩陣以下圖所示：

對比一下2018年的矩陣：

基於Gartner最近這兩年的MQ報告，結合相關廠商的其它信息，部分分析以下。

先從廠商視角來看：

SIEM三強變兩強：LogRhythm終究仍是沒有挺住，在3年後退出了三強之列，SIEM的頭部格局變成了IBM和Splunk兩強之爭。Gartner對LogRhythm的第一個警告就是其在向現代SIEM架構遷移過程當中落後了。儘管它用了ES，也算基於大數據架構了，但仍是混合型架構，尚未擺脫對Windows和MS SQL的依賴。顯然，越日後發展，架構問題愈加成爲制約其產品能力的瓶頸。

 

UEBA兩強華麗轉身：Gartner沒有對UEBA廠商作過MQ，估計之後也不會作了，由於它不是一個產品細分市場，而是一種技術。所以，Gartner會出UEBA的MG（市場指南）。在MG中會列舉典型的UEBA廠商。憑感受，Exabeam和Securonix算得上是靠前的UEBA廠商吧。而這兩個廠商最大的亮點就是轉型SIEM市場，而且轉的很成功，從2017年上榜，到第三年就已經躋身領導者陣營。做爲初創公司，他們也獲得了資本的垂青。做爲看慣了SIEM MQ廠商變遷的筆者，認爲他們的歸宿大機率是被某個大廠收入囊中。

 

多個廠商改換門庭：AlienVault已經被運營商AT&T收購，並專一於SaaS模式。儘管之前的設備/軟件版本還繼續售賣，但估計會逐步收縮。此外，RSA在這份報告中雖然還算在Dell旗下，但咱們已經知道它最近被DELL賣給了私募基金。還有，LogRhythm業已被私募股權公司Thoma Bravo拿下。

上面提到的是上榜MQ的廠商被併購的狀況，尚未提到他們收購別人的狀況。而更多沒有上榜的，併購其實更加頻繁。

 

其它廠商點評：

大廠McAfee終於也退出了領導者陣營。Gartner給McAfee的負面評價包括：UEBA能力較弱，沒有羣組分析功能，SOAR能力也較弱。

MicroFocus的Arcsight繼續隕落，繼2017年掉出領導者象限後，今年更是來到了第四象限。儘管2019年初收購了Interset終於有了本身的UEBA，但還沒有完成整合；雖然架構也基本完成了向大數據的遷移，但仍是太複雜，並且用戶界面和體驗仍是太差；最後就是創新能力明顯不足，譬如尚未SOAR。仔細看MQ矩陣，會發現Arcsight在座標橫軸位置竟然位居全部廠商最末尾！Gartner有多麼不待見Arcsight，起碼在五維度橫向評比中位居中游啊。

Rapid7繼續上升，2019年來到了領導者象限。

 

特別關注：還有一些廠商，Gartner認爲其在市場定義上並不匹配其SIEM定義，儘管有的產品也被這些廠商稱做SIEM。這裏就包括微軟的Azure Sentinel和Chronicle的BlackStory。做爲SaaS服務，這兩家的產品筆者以前專門作過度析，這裏暫不表述。另外還有Elastic、Sumo Logic和Devo等公司。他們都開始在安全領域發力，甚至出手併購安全公司，譬如Endgame、JASK等，都自稱推出了SIEM產品。此外，還有一類公司，把本身包裝成我稱之爲「下一代日誌管理」的產品，也就是Gartner所謂的「基於機器學習的日誌分析」，雖夠不上Gartner的SIEM產品界定標準，但也正試圖蠶食一部分SIEM市場，並在迅速與SIEM融合。

 

再從產品視角來看：

繼UEBA以後，SOAR迅速成爲SIEM的重要功能：上榜的大部分廠商都經過各類方式補齊了SOAR方面的能力。IBM、Splunk、Rapid七、Fortinet、FireEye是靠收購得到SOAR；RSA、Securonix是經過OEM；Exabeam、McAfee、LogRhythm、AlienVault則分別發佈了各自輕量級的SOAR組件。

Gartner在2019年的廠商評估流程中，已經明確提出要廠商描述原生的UEBA功能，但並未要求描述SOAR功能。不過，Gartner要求廠商在給其作產品演示的時候，說起了SOAR相關功能的演示環節。

 

各大廠商紛紛擴充產品組合：Garnter近幾年一直有個公式：SOC平臺 = SIEM + UEBA + EDR + NTA + SOAR。很差說是用戶需求和廠商的作法促使Gartner有了這種觀點，仍是Gartner的這種觀點讓廠商們（尤爲是爲了入選MQ）如此。總之，這個趨勢愈來愈顯著。

IBM的QRadar沒必要多言，其很早就在SIEM產品線下集合了VM、NDR、UEBA以及收購自Resilient的SOAR產品，自家也有TIP，遺憾的是缺乏EDR產品。

LogRhythm的SIEM產品線也囊括了NDR、UEBA，以及輕量級的EDR和SOAR功能。

Securonix做爲一家初創公司，在SIEM領域的進階很大。跟Exabeam很不一樣，它2019年經過OEM快速擴充其產品線。從CyberSponse那裏OEM了SOAR，從Corelight那裏OEM了NTA探針。但這樣作的風險也是很大的。不知道CyberSponse歸屬Fortinet後是否要尋找後備。

Rapid7的產品線也比較齊整，除了內嵌UEBA的SIEM，還包括漏洞管理、SOAR，2019年收購了一家名爲NetFort的NTA小廠，得到了網絡探針能力，此外本身還有一個輕量級的端點Agent。

AT&T旗下AlienVault的SIEM產品線也很注重自身產品組合的完整性，除了頂在最上面的USM平臺外，還打包了自家的資產發現、漏洞掃描、IDS（至關於NTA）、EDR，以及威|脅情報產品，還發布了SOAR功能，但缺乏UEBA能力。

RSA由其前些年收購的NetWitness團隊擔綱SIEM產品線，並對其產品組合進行擴充，除了頂在上面的NWP，還推出了日誌管理、EDR、NDR、UEBA和SOAR產品。其中，UEBA源自其收購的Fortscale，SOAR則OEM自Demisto，在Demisto被PAN收購後又改成OEM Threat Connect的SOAR。

FireEye的SIEM產品線也集成了自家的EDR、NDR和威|脅情報產品。

Fortinet的SIEM產品線源自其2016年收購的AccelOps，現在也整合了輕量級EDR和威|脅情報功能，以及收購自ZoneFox的UEBA產品。此外，Gartner報告尚未來得及講的是就在2019年的12月份，Fortinet收購了CyberSponse，得到了成熟的SOAR產品。

 

提及來，這種產品組合拳的打法國內更擅長。但對於不一樣的廠商而言，這樣作的利弊須要謹慎衡量，並不是老是OK。這裏的產品組合也包括方案組合，在落地的時候也會有不一樣的產品路線，或者自研，或者OEM，或者結盟，或者建立/融入開放生態。若是選擇自研，還有不一樣的技術路線。還有一種方法，就是炒而不作。上面列舉的那麼多公司的產品，路線選擇可謂是八仙過海、各顯神通。

總之，對於大廠，老是有更多的玩法能夠選擇，且有時間去試錯。而對於小廠或者初創公司，就要慎重考慮了，有限的資源恐怕難以覆蓋如此寬廣的市場需求。還有的時候，背後的資本力量也是促使廠商們如此行事的一個隱藏因素。

 

回到SIEM市場自己。

SIEM的基本使用場景並不是變化，仍是高級威|脅檢測、基礎安全監控，以及調查與應急響應。威|脅管理依然是SIEM的首要驅動因素，其次是監控與合規。

報告指SIEM市場趨於成熟，競爭激烈。全球市場規模從2017年的23.19億美圓增至2018年的25.97億美圓，市場份額主要集中在Splunk、Arcsight（不要奇怪）、IBM和LogRhythm手裏。而據Gartner另外的資料代表，SIEM全球支出在2019年預計將達到34.7億美圓。能夠說，SIEM市場規模較大，增速也遠高於安全市場整體平均值。

正是由於你們都看到了這個好市場，也看到了客戶不斷增加的需求，看到了SIEM正處於技術革新的轉型期，各色廠商紛紛入局。國外如此，國內亦是如此。

因此，咱們能夠看到雲廠商開始涉足SIEM，將其封裝爲SECaaS的一個關鍵能力，國外有Azure，AWS，Google雲，國內則見於阿里、騰訊。咱們還看到各大安全廠商紛紛佈局SIEM，有傳統綜合性安全廠商，也有新晉的上市公司，更有試圖顛覆安全市場的新興綜合性安全大廠，他們皆將SIEM視爲其產品戰略的關鍵一環，被看做是安全軟件平臺之母。咱們也看到很多創業公司投入這個領域，試圖經過顛覆性技術和迎合特定客戶的新需求切入這個市場。國外如此，國內亦然。

 

與這份SIEM MQ報告同期發佈的還有SIEM CC（關鍵能力）報告。這份報告中，Gartner對入圍的廠商從五個維度（跟2018年不一樣）進行了打分排名。更重要地，列舉了Gartner在評估SIEM廠商時所關注的關鍵技術能力，跟2018年度也有不一樣，包括：

1)       架構/部署/伸縮性；

2)       雲就緒狀況（今年新增）；

3)       運維與支持；

4)       數據管理能力；

5)       分析能力；

6)       應急響應管理；

7)       內容包及其管理，即知識工程（今年新增）；

8)       取證與威|脅獵捕（今年新增）；

9)       用戶體驗與用戶接口（今年新增）。

 

寫在最後：

今年Gartner SIEM MQ評估之時，筆者已經創業，無緣再次親身參與其中。不過筆者不斷從多個側面瞭解整個進程，算是對評選工做略知一二。

從技術維度看，評估標準與往年比並無特別多的變化，一切都緊隨Gartner全部報告中對SIEM的技術論述。

從市場維度看，這次評估標準中對於中國廠商而言最關鍵的一點是對SIEM營收有很強的國際化的要求。Gartner要求上榜廠商必須有15%及以上的公司總部所在國家以外的海外營收。也就是說，若是你的公司總部在中國，那麼就要有15%以上的非中國（海外）收入。同時，Gartner要求上榜廠商必須在亞太、北美、歐洲中東非洲、拉美四個區域的至少兩個區域中有銷售與市場運做行爲，而且分別擁有至少10個客戶。這兩條標準代表Gartner對於SIEM產品十分看重廠商的國際化能力。而這對於中國廠商而言是一個比較高的門檻。在2018年及之前雖然也有國際化方面的評估，但都沒有此次的量化程度高。因此，咱們看到多個國內廠商雖然參與評估，但最終未能上榜，僅獲提名。但咱們也看到了有中國公司入榜，讓筆者頗爲驚訝，另眼相看。

把話題進一步延伸開來，咱們發現不只是SIEM MQ，其它安全產品的MQ也都在增強對國際化的要求。一方面是由於參與的廠商愈來愈多，而上榜的公司則不能太多，另外一方面體現了Gartner的國際範兒。所以，近幾年來咱們已經看到多個產品的MQ報告中有中國廠商因爲國際化不達標而下榜。固然，國際化也是將來對中國領先安全廠商的一個必然要求，國際化對於中國公司是挑戰更是機遇。再進一步說，ToB軟件的國際化尤爲難，咱們尚需努力。

【參考】

Gartner：2018年SIEM（安全信息與事件管理）市場分析

Gartner：2017年SIEM（安全信息與事件管理）市場分析

Gartner：2016年SIEM（安全信息與事件管理）市場分析

Gartner：2015年SIEM（安全信息與事件管理）市場分析

Gartner：2014年SIEM（安全信息與事件管理）市場分析

Gartner：2013年SIEM市場分析（MQ）

Gartner：2012年SIEM（安全信息與事件管理）市場分析報告

Gartner發佈2011年SIEM市場分析報告（幻方圖）

評Gartner2010年安全信息和事件管理（SIEM）分析報告

Gartner公司對2009年安全信息和事件管理（SIEM）的分析報告