【注:本文不是译文,结合了大量笔者自己的体会和判断,请勿将此文观点等同于Gartner观点】
2024年5月8日,Gartner发布了原计划应于2023年底发布的SIEM市场魔力象限(MQ)报告。该报告基于2023年3月31日及其之前12个月的数据做出,因此,并不能反映当前最新的SIEM市场状况,但仍然具有较高的参考价值。本次报告的主笔分析师由上一年度SIEM报告的第二分析师Andrew Davies担纲,而上年度的主笔Pete Shoard作为Gartner的SecOps研究方向的部门负责人,事实上也参与了报告,因而报告具有较强的延续性。
SIEM市场定义
今年的定义跟以往的定义内涵保持一致,仅表述方式有所不同。
SIEM is a configurable security system of record that aggregates and analyzes security event data from on-premises and cloud environments. SIEM assists with response actions to mitigate issues that cause harm to the organization and satisfy compliance and reporting requirements.
SIEM 是一个可配置的安全记录系统,用于聚合和分析来自本地和云环境的安全事态数据。SIEM 协助采取响应措施,以缓解对组织造成损害的事项,并满足合规性和报告要求。SIEM必须能够对各种IT和OT环境中的数据进行采集和范化,能识别感兴趣之事态并进行调查,支持手工和自动的响应,维护当前和历史的安全事态并出具报告。
现在,Gartner所有报告中对市场的定义都统一的描述模板,需要从必备能力、标准能力和可选能力三个维度对市场进行详细描述。
必备能力:
能从位于本地或云端的各种资产中采集基础设施的详细数据和安全相关的数据
最终用户可以通过关联的、分析的和签名的方法自助开发、修改和维护威胁检测用例
SIEM供应商能够向客户提供安全内容及相关设施以帮助客户创建安全内容。这些安全内容包括:分析、数据范化、数据收集、数据富化等
提供案例管理以支撑事件响应活动
能按照业务、合规和审计需求生成报告
能长期存储基本的安全事态数据,并能够方便查询
能够根据威胁检测用例、报告和事件调查等不同意图,通过多种方式(日志流、API、文件)从不同的事态源收集事态数据
具备多种部署选项,包括本地部署、云宿主中部署(云寄生)、云原生部署和SaaS
能对来自第三方系统的数据进行范化、富化和风险评分
对任务和工作流进行编排和自动化以强化调查从而遏制事件的不利影响
具备完整的SOAR功能
具备UEBA和基于数据科学(譬如有监督/无监督机器学习、深度学习、递归神经网络)的高级分析能力
具备TIP能力,能管理情报,并为威胁信息提供上下文
客户可以从平台订阅威胁内容和与第三方技术集成的设施,包括各种应用市场
对分散环境进行联邦搜索
能对SIEM存储库之外的事态进行去中心化查询,以在必要时提取附加的富化信息
具备EDR、NDR等附加技术组件
存储能够与数据湖平台集成
本次入围了22家厂商,比上一次的16家大幅增长,其中出现了3个中国厂商。
对比上一次的魔力象限图,如下:
可以发现,厂商分布趋势重回正常(沿一四象限45度斜线两侧分布),入围厂商显著增加集中在利基(niche)象限,头部厂商分化,两强显现。
领导阵营分化,微软和Splunk两强凸显
本次报告的领导阵营还是上一次的那五家厂商,但微软稳扎稳打坐实强中强位置,而Splunk不甘示弱,强劲回暖,夺回霸主位置,与微软不相上下。
微软从2021年上榜以来,一年一大变,三年大变样。2022年大幅提升了执行力,而2023年则大幅增强了愿景的完整性(横轴排第二)。毫无疑问,微软的Security Copilot为其在创新指标上加分不少。Gartner认为微软SIEM具有高度集成的生态系统,便捷丰富的定制化能力,以及对攻击的ATT&CK标注的高度覆盖。必须看到,微软借助其在云和ITOps软件中的领导者地位帮助其SIEM大肆攻城略地,势头很猛。当然,其缺点也比较鲜明,体现在对Azure的依赖,复杂的价格体系,以及开箱即用合规报表模板数量有限。
Splunk在2018、2019年的时候都是强中强,但在2021年出现了明显的滑坡。从2022年开始回暖(主要是因为补齐了CloudSIEM的能力),到这次终于重回巅峰,尽管这次依然因为价高和过于复杂而遭受诟病。笔者认为,思科收购Splunk后,将补齐Splunk SIEM在端上的能力(借助思科的EDR/XDR),将有助于夯实其领导者地位,并应对来自微软的进攻。但笔者担心的是,不知道Splunk AI跟微软PK胜算几何。
Securonix继续稳坐钓鱼台
最近三次报告,Securonix的位置几乎没有改变。Securonix的产品理念总是保持跟Gartner高度一致,譬如受到Gartner表扬的对第三方数据湖数据的访问支持(数据联邦化),以及引入了SIEM的有效性评估指标体系。此外,就笔者所知,在与其合作的SOAR厂商被Fortinet收购后,快速推出了自研的SOAR模块,也展现了该公司的韧性。
IBM和Exabeam巅峰不再
IBM在以前常年处于领导者的头牌位置,看着跟他PK的对手换了一茬又一茬。从2021年开始慢慢显现出了颓势,到现在依然起色不大,虽然销量依然排第二,但增速疲软。应该说,这几年IBM在SIEM领域还是比较积极的,通过收购陆续补齐了SOAR、EDR、ASM等组件,也在CloudSIEM方面有所提升。
就在北京时间2024年5月16日,IBM和派拓网络(Palo Alto Networks,简称PANW)签署了一揽子合作协议,并宣布将QRadar SaaS资产出售给PANW,同时,IBM未来将主推PANW的SOC产品XSIAM,并且IBM咨询部门将依托XSIAM开展MSS业务,而PANW则凭借收购来的QRadar SaaS资产一次性获得大量客户,强势进入SIEM/SOC市场。可以参见《IBM放弃自己的QRadar,转而使用派拓网络的XSIAM》了解更多信息。
Exabeam作为当年的新兴SIEM厂商,凭借UEBA强势入局,2021年曾经位于Gartner SIEM MQ领导象限榜首,达到巅峰,如今也已经锋芒不在,但仍然是领导者阵营的一员。Gartner表示,Exabeam产品主要聚焦大型客户,具备较先进的联邦数据搜索能力,以及承袭自UEBA的实体评分功能,但其售价较高,部署初始化难度较大。
OpenText平稳转移
对于笔者比较有感情的ArcSight团队在2023年初又更换了一次东家,随着Micro Focus被收购到了OpenText。不过好在无论哪里都站住了SIEM这个阵地,品牌也得以继续保留,因此本次Gartner SIEM MQ位置基本没有什么变化。如今,ArcSight的架构已经重构完成,并已经集齐了Gartner推崇的SIEM、UEBA、SOAR、TIP,还有OpenText早前收购的EDR加持。
LogRhythm继续退步
作为中生代典范的LogRhythm继续退步,进入了利基象限,眼看着就要奔ArcSight后尘而去。Gartner认为LogRhythm虽然补齐了云原生架构的SIEM产品,但却存在多条产线并存的复杂局面,导致其产品和市场战略不清晰。同样是在5月16日,LogRhythm和Exabeam宣布了合并计划,不知道双方将如何整合,让我们拭目以待。
上榜厂商大幅增加,Google终于入选
这次报告增加了6个厂商,其中中国厂商2家,欧洲厂商1家,总上榜厂家达到22家。值得一提的是Google终于上榜,虽然比微软晚了3年。笔者分析,Google这次上榜跟其在近几年通过收购Siemplify获得SOAR能力,以及收购Mandiant并集成其威胁情报能力不无关系。这些使得其Chronicle SaaS产品更符合Gartner的入围标准。不过,Gartner依然认为Google Chronicle 的UEBA功能偏弱。
未能上榜的CrowdStrike和Palo Alto Networks
在刚刚结束的RSAC2024大会上,CrowdStrike的联合创始人兼CEO大谈特谈以人、工作流程自动化、数据和AI为核心的下一代SIEM,为其在5月7日发布的AI原生的Falcon Next-Gen SIEM造势。此举说明,CrowdStrike开始大举进入SIEM市场。而早在2021年,CrowdStrike通过Humio收购获得了日志分析管理技术,并基于此发布了初代的SIEM产品Falcon LogScale。
在Gartner本次发布的2024年SIEM魔力象限中,CrowdStrike未能上榜,理由是Gartner认为Falcon LogScale还是不够开放,更适合作为CrowdStrike家族产品和技术的扩展。考虑到这个报告分析的主要是LogScale,而非最新的Falcon Next-Gen SIEM,想必下一次报告中会强势上榜。作为现在的当红炸子鸡,CrowdStrike的实力不容小觑,下一代SIEM是其安全平台战略(跟PANW一个调性)的重要组成部分。
同样,尽管PANW在2022年初就发布了它的SIEM类产品XSIAM,但Gartner认为XSIAM并不符合此次评估标准,而更适合那些希望购买PANW全家桶的客户。言外之意,就是认为XSIAM的开放性和生态并不好。考虑到这份报告分析时间截至2023年9月1日而并未纳入最新情况,以及这次PANW强势购买IBM QRadar SIEM客户的行为和IBM的力推,估计下一次入选不在话下。
厂商格局小结
通过以上令人眼花缭乱的分析,笔者发现,现在顶级的云厂商(微软,Google),以及大型的安全厂商(不管你是什么出身)都将SIEM/SOC所代表的SecOps业务视为自己未来的重要战略(有的是所谓安全平台战略),纷纷入局,SIEM市场格局将迎来一段动荡期,也可以说是活跃期、机会期。还有一个动向,就是大量XDR厂商(包括CrowdStrike、Cisco、PANW、Cybereason),已经等不及说服用户用XDR替代SIEM了,干脆就直接发布一个SIEM/SOC产品,强切SIEM/SOC市场。
产品和市场分析
总体描述跟上一年一样:SIEM产品继续不断吸纳新的功能,并正在转变架构策略以适应客户需求。
Gartner估计,SIEM市场规模从2022年的20亿美元增长到2023年的57亿美元,增长率为13%,增速有所回落。SIEM的购买驱动因素也没有变化,还是检测、响应、暴露管理,以及合规。
Gartner认为,尽管SIEM已经位于Hype Cycle的生产力平原,属于成熟阶段,但有多股外部力量正式试图颠覆SIEM,反思SIEM的角色定位,以及实现SIEM的最佳技术。这些外力包括:
客户越来越青睐选择云服务供应商【对于中国客户,可能恰恰相反?】
需要处理更多的数据(成本膨胀)
对检测栈整体简化的呼声越来越高
因此,此时SIEM厂商在与客户沟通时经常会涉及到云原生、数据湖、XDR等议题。数据主权和隐私等合规要求也对SIEM的自身数据安全问题提出了挑战。
正是由于有了各种颠覆性力量和动机,以及客户需求,给有进取心的SIEM厂商带来了机会。
不过,Gartner对于GenAI在SIEM中的价值持审慎态度。
纵览整个报告,对于SIEM未来发展趋势和一些热点话题,并未展开。可以参考笔者《Gartner:2022年SIEM(安全信息与事件管理)市场分析》中的产品和市场分析章节的内容,了解Cloud SIEM的问题,XDR和SIEM的关系,SOAR和SIEM的关系,以及暴露管理和SIEM的关系。相关内容至今依然有效。
【参考】
Gartner:2022年SIEM(安全信息与事件管理)市场分析
Gartner:2021年SIEM(安全信息与事件管理)市场分析
Gartner:2019年SIEM(安全信息与事件管理)市场分析
Gartner:2018年SIEM(安全信息与事件管理)市场分析
Gartner:2017年SIEM(安全信息与事件管理)市场分析