2018年12月3日�,�,,Gartner正式对外宣布了2018年SIEM市场魔力象限剖析报告�。�。�。。。�。新的市场竞争名堂基本成型�,�,,SIEM产品越来越注重威胁检测和响应�,�,,尤其是新型的检测要领和响应方法�。�。�。。。�。所谓新型检测要领特指UEBA�,�,,及其他高级清静剖析要领(如NTA、EDR、诱骗、威胁捕猎等)�;�;�;�;;所谓响应方法特指Gartner提出的SOAR(Security Orchestration, Automation and
Response)�。�。�。。。�。
报告显示�,�,,SIEM现在属于成熟市场�,�,,并且竞争十分强烈�。�。�。。。�。全球SIEM市场从2016年的20亿美元上升到了2017年的21.8亿美元(注:这些数字相较于去年的展望有所下降�,�,,以最新的为准)�。�。�。。。�。SIEM市场的主要驱动力时威胁治理�,�,,其次是清静监控与合规治理�。�。�。。。�。相对欠成熟的亚太和拉美地区的SIEM增添率远远高于在北美和欧洲市场�。�。�。。。�。
从销量上看�,�,,主要照旧集中在Splunk、Arcsight、IBM、LogRhythm和McAfee身上�。�。�。。。�。
2018年的SIEM MQ矩阵如下图所示:
比照一下2017年的矩阵:
可以发明:
1)向导者中三强职位相对稳固:经由三年的时间�,�,,SIEM市场三强IBM、Splunk、LogRhythm的第一集团优势已经形成�,�,,不管其它厂商收支向导者象限�,�,,他们三家的职位基本稳固�。�。�。。。�。若是稍微调研一下这三家公司的SIEM产品�,�,,着实也会生长其产品战略有诸多相似之处�,�,,那即是在高级清静剖析领域特殊重视UEBA�,�,,在清静响应领域特殊重视SOAR�,�,,同时特殊重视云盘算情形下的SIEM应用场景�,�,,纷纷推出面向云盘算的SIEM�,�,,并提供支持MSSP和SaaS的版本�。�。�。。。�。而IBM还在应用市场领域与Splunk睁开强烈的争取�,�,,Splunk的应用市场模式也已经被许多SIEM厂商所仿效�,�,,而这也是Splunk能够称霸三强的焦点竞争力�。�。�。。。�。而从自身产品的周全性角度来看�,�,,IBM的功效显然更全�,�,,除了高级清静剖析和清静响应�,�,,尚有专门的NTA、弱点治理、危害治理�。�。�。。。�。在高级清静剖析领域�,�,,除了有盛行的UEBA�,�,,还整合了Watson的AI功效�。�。�。。。�。Splunk的功效笼罩面虽然不全�,�,,但他的优势照旧基于早前基于应用市场构建起来的开放生态�。�。�。。。�。LogRhythm则紧跟Gartner对SIEM市场生长趋势的研判�,�,,自建了UEBA和SOAR功效�,�,,同时开发了EDR和NTA探针�,�,,从而增强了威胁检测能力�。�。�。。。�。
2)UEBA成为SIEM的要害功效:若是说基于规则的关联剖析是SIEM的焦点功效�,�,,那么UEBA就是SIEM的要害功效�。�。�。。。�。凭证Gartner的展望�,�,,到2020年�,�,,80%的SIEM产品都将具备UEBA功效�。�。�。。。�。届时�,�,,UEBA生怕就成为SIEM的另一个焦点功效了�。�。�。。。�。也正由于云云�,�,,现在位居向导象限的所有SIEM厂商都具备了UEBA功效�。�。�。。。�。而其它SIEM厂商也都纷纷引入UEBA功效�,�,,岂论是自研照旧OEM�。�。�。。。�。而在这些厂商中�,�,,最引人注目确当属依附UEBA起身的Exabeam和Securonix杀入了SIEM的向导者象限�。�。�。。。�。从2017年两家厂商首次入围SIEM MQ到今年位列向导者象限�,�,,可见Gartner对其青睐有加�。�。�。。。�。由于这两家厂商建设时间较短�,�,,因此他们的基础架构相关于其它家都要更为先进�,�,,且没有历史肩负�。�。�。。。�。而老牌的厂商则要么面临老架构向新架构转型的痛苦�,�,,要么面临同时维护新老两套架构的贫困�。�。�。。。�。而除了UEBA功效及其仰仗的底层大数据架构�,�,,Exabeam和Securonix的其它功效的体现着实也就中规中矩�,�,,可见UEBA有多讨好�。�。�。。。�。
3)昔日豪强生长各异:关于多年以前在向导者阵营中争取桂冠的McAfee、DELL(RSA)和MicroFocus(Arcsight)而言�,�,,景物不再�。�。�。。。�。McAfee算是三家中相对较好的�,�,,自从收购Nitro Security一举冲高后就从三甲的位置徐徐下滑�,�,,近三年都缩居在向导者象限的牢靠位置�。�。�。。。�。Arcsight则在被HP收购后一起运气崎岖�,�,,从2016年跌出三甲�,�,,然后一起下滑�,�,,2017年退居挑战者象限�,�,,到了2018年则连挑战者的位置都仅仅是委屈保住�,�,,都快要掉入niche象限了�。�。�。。。�。审查Arcsight在MQ中陨落的路径可以看到:在一连的团队动荡中�,�,,先是手艺退步�,�,,然后带来市场下滑�。�。�。。。�。平心而论�,�,,我以为Arcsight手艺体现没有这么糟糕�,�,,更多照旧受公司折腾危险太深�。�。�。。。�。在Gartner看来�,�,,Arcsight的手艺短板主要是架构新老搭配�,�,,切换不彻底�,�,,并且差别组件架构各不相同�;�;�;�;;尚有就是没有UEBA(现在是OEM Securonix的一个老旧版本)�。�。�。。。�。再看看RSA�,�,,10年前依附envision位居SIEM三甲�,�,,厥后徐徐疏弃�,�,,眼看不可又收购了NetWitness�,�,,从2012年最先就一直牢靠在挑战者象限�。�。�。。。�。然后在2018年�,�,,突然跳到了向导者象限且位居McAfee之上�。�。�。。。�。仔细比照这两年的MQ报告�,�,,初略可以找到这个跳变的缘故原由:由于RSA收购了UEBA厂商Fortscale�,�,,同时在SOAR偏向OEM了Demisto�,�,,教科书般的遵照了Gartner的“教育”�,�,,以是排名就飙升了�。�。�。。。�。反观McAfee�,�,,要不是去年OEM了一个UEBA产品�,�,,预计Leader阵营难保!
4)其它:Rapid7的买买买战略使得其快速扩充手艺能力�,�,,从2017年最先打榜SIEM MQ�,�,,暂居远见者象限�。�。�。。。�。一众Niche象限的厂商们则要么手艺上不完全知足Gartner的研判标准�,�,,要么在市场上没有笼罩全球(尤其是北美市�。�。�。。。�。�。�。�。。。�。Trustwave和FireEye由于其SIEM营业聚焦于MSS/MDR�,�,,因此被移出榜单(由于Gartner将MSS/MDR界说为另外一个市场�,�,,尚有MQ)�。�。�。。。�。NetIQ由于MicroFocus收购Arcsight后产品线重叠而下榜�。�。�。。。�。LogPoint成为了第一家入围Gartner SIEM MQ的欧洲公司�。�。�。。。�。
通太过析入围厂商�,�,,我们进一步可以发明:
1)Gartner十分看重UEBA功效�。�。�。。。��;�;�;�;;旧蟄EBA功效强弱与SIEM厂商的手艺职位成正比�。�。�。。。�。UEBA可以说是现在高级清静剖析领域中相对最为成熟的剖析要领�,�,,也可以说是使用AI/ML和大数据做网络清静的最乐成的产品化实践之一�。�。�。。。�。Gartner今年4月份宣布了最新版的UEBA市场市场指南(Market Guide)�,�,,体现到2021年自力的UEBA市场将消逝�,�,,转而作为一个功效特征融入到其他一系列产品中去�,�,,其中与SIEM的融合尤为显著�。�。�。。。�。同时�,�,,SIEM厂商近些年一直在结构UEBA及其底层的基于ML的行为剖析能力�,�,,作为对古板基于规则的关联剖析的有利增补�,�,,并建设更多抓客户眼球的用户视角的威胁场景�。�。�。。。�。SIEM厂商获得UEBA能力的方法多种多样�,�,,有不少都接纳并购的方法�,�,,譬如Splunk的UBA功效来自于2015年对Caspida的收购�,�,,RSA则收购了Fortscale�。�。�。。。��;�;�;�;I杏械脑蚪幽蒓EM模式�,�,,譬如Arcsight、McAfee�。�。�。。。�。
2)大数据架构已经成为主流�。�。�。。。�。并不是说SIEM必需使用大数据架构�,�,,由于这是一个应用场景问题而非手艺问题�。�。�。。。�。但面临大宗数据需要处置惩罚的场景时�,�,,基于大数据架构的SIEM则必不可少�。�。�。。。�。得益于大数据手艺及其生态系统的日益成熟�,�,,新型的SIEM厂商有时机使用成熟的大数据手艺去构建其底层架构�,�,,从而为快速逾越古板的厂商创立了有利条件(但不是充分条件)�。�。�。。。�。而古板的SIEM厂商出于维护存量客户和已有投资等缘故原由�,�,,无法快速将基于古板RDBMS的数据架构转换成大数据架构�,�,,尚有的转的又太早(早些年�,�,,开源的、轻量级大数据手艺尚未成熟)�。�。�。。。�。进一步研究可以发明�,�,,像现在较量生猛的Exabeam和Securonix建设时间都较量晚�,�,,遇上了大数据手艺生长的好时光�,�,,其架构都是完全融合大数据手艺的�。�。�。。。�。譬如Exabeam的底层数据架构基于ES(ELasticSearch)和Hadoop�,�,,新闻系统接纳Kafka�,�,,机械学习(ML)接纳Spark�,�,,而Securonix也是基于Hadoop、Kafka、HBase、Solr�。�。�。。。�。SIEM三强�,�,,虽说不是彻底的大数据架构�,�,,但也基本刷新完成�。�。�。。。�。Splunk和QRadar接纳了自己的NoSQL数据架构�,�,,同时推出了支持Hadoop架构的产品版本�,�,,LogRhythm的底层数据架构也已经刷新成了ES�。�。�。。。�。
Gartner在报告中还专门提及了使用开源工具(譬如ELK、Apache
Metron)自己搭建SIEM/SOC解决计划的情景�。�。�。。。�。Gartner的研究批注�,�,,只管这些软件自己是免费的�,�,,但使用这些软件照旧较量腾贵的�,�,,包括陋习模的安排的本钱�,�,,以及事务源接入和剖析所需的开发事情量都很大�。�。�。。。�。使用开源工具而非商业化产品不见得能够镌汰破费�。�。�。。。�。
与这份SIEM MQ报告同期宣布的尚有SIEM CC(要害能力)报告�。�。�。。。�。这份报告中�,�,,Gartner对入围的厂商从三个维度举行了打分排名�。�。�。。。�。更主要地�,�,,枚举了Gartner在评估SIEM厂商时所关注的要害手艺能力�,�,,包括:
-
架构能力:包括产品形态的多样性(软件、硬件、云)、安排的可伸缩性和可扩展性�,�,,漫衍式安排能力、级联安排能力�。�。�。。。�。
-
安排、运维和支持能力:众所周知�,�,,SIEM的乐成远非手艺平台和工具所能告竣�,�,,因此SIEM的安排、运维和支持的能力十分主要�,�,,包括怎样快速高效安排和扩展�,�,,怎样让用户在职员欠缺的情形下高效运维�,�,,提供什么样的原厂支持�,�,,都很主要�。�。�。。。�。
-
日志与数据治理能力:包括对日志事务以及非日志数据(如资产、误差、情报、报文等)的收罗、处置惩罚与存储治理的能力�。�。�。。。�。
-
实时监控能力:这关于威胁检测与事务视察至关主要�。�。�。。。�。这里包括种种实时清静剖析的能力�,�,,种种可视化泛起能力、仪表板�,�,,种种预置的规则、模子、剖析战略等�。�。�。。。�。
-
剖析能力:清静剖析时SIEM的焦点功效�。�。�。。。�。包括规则关联等经典剖析功效�,�,,以及包括行为剖析在内的高级清静剖析功效�。�。�。。。�。多种剖析方法不是相互倾轧的�,�,,而是叠加使用的�,�,,实现所谓“纵深剖析”�。�。�。。。�。
-
数据与应用监控能力:主要是指针对数据和应用的清静监控�,�,,焦点是收罗并综合剖析来自专门的数据与应用清静检测装备的日志�,�,,譬如DAP、DAM、CASB、DLP、FIM、EDR等清静系统�,�,,尚有ERP等种种营业系统�。�。�。。。�。
-
威胁与情境感知能力:主要是指对种种情境数据的收罗与运用�,�,,包括威胁情报、弱点、资产信息等�。�。�。。。�。
-
用户感知与监控:这里就是UEBA功效�,�,,尤指UBA�。�。�。。。��;�;�;�;;拱ㄊ章藓推饰鯥AM、PAM的日志�。�。�。。。�。
-
事务治理:主要是清静响应相关的能力�,�,,包括案件治理、响应事情流等�,�,,还可以包括编排与自动化的能力�。�。�。。。�。
-
威胁检测工具:主要是指与种种高级威胁检测工具的集成�,�,,譬如NTA、EDR、沙箱、FPC、FIM、取证工具、诱骗工具等�。�。�。。。�。
深感幸运地是�,�,,笔者作为亲历者�,�,,再次加入了这次SEIM MQ的入围事情�。�。�。。。�。也是为了这次入围�,�,,笔者推迟了出来创业的时间�。�。�。。。�。相较于去年的第一次加入�,�,,这次有了比照�,�,,感受也更多�。�。�。。。�。这次评选相较于上次评选在一些评价点上举行了细化�,�,,从而使总的评价项又增添了不少�。�。�。。。�。除了手艺方面的评价项�,�,,尚有许多公司战略、产品营业模式、产品市场营销、产品设计与妄想方面的评价项�。�。�。。。�。有些评价项是我平时并不怎么关注的�,�,,经由Gartner的提醒�,�,,倒让我对产品治理有了更多的考量�。�。�。。。��;�;�;�;W防纯�,�,,对笔者而言�,�,,加入Gartner
SIEM MQ入围已经无关产品声誉�,�,,更多则是磨炼自己国际化视野下的产品妄想与治理能力�。�。�。。。�。
(泉源:51CTO博客作者叶蓬原创作品)
京公网安备11010802024551号