魔力象限之安全信息和事件管理 - bitpipe

2015/7/24 魔力象限之安全信息和事件管理

魔力象限之安全信息和事件管理

2015 年 7 月 20 日 ID：G00267505

分析师：Kelly M. Kavanagh、Oliver Rochford

摘要

越来越多的客户需要在早期检测目标攻击和数据泄露，由此推动了新的 SIEM 部署和现有 SIEM 部署的

发展。高端用户希望 SIEM 在高级概要描述能力与分析方面更上一层楼。

评估标准定义

执行力产品/服务：供应商针对所定义市场提供的核心产品和

服务。如市场定义中所定义和附属条件中所详述的那

样，这包括当前的产品/服务功能、质量、功能集和技

能等，无论是产品自带还是通过 OEM 协议/伙伴关系

提供。

总体可行性：可行性的评估包括下列内容：总体组织

财务状况、业务单位的财务及实践成功与否，以及个

别业务单位继续在产品上进行投资、继续提供产品，

并在组织的产品组合中努力提高产品性能的可能性。

销售执行/定价：供应商在所有售前活动中的能力，以

及支持这些活动的结构。这包括交易管理、定价和协

商、售前支持及销售渠道的总体有效性。

市场响应性/记录：在机会得到发展、竞争对手有所行

动、客户需求演变且市场动态发生变化时，及时响应、

更改方向、灵活应对并达成竞争胜利的能力。此标准

还会将供应商以往的响应情况考虑在内。

市场营销执行：组织为影响市场、提升品牌形象和业

务、增加产品认知度，并在购买者心中树立产品/品牌

和组织的肯定评价，而设计用来传达组织宗旨的各种

计划的明确性、质量、创造性和功效。结合使用媒体

宣传、促销活动、思想领导、口碑相传和销售活动等

手段，促进这种“品牌联想”。

客户体验：能够使客户成功使用所评估产品的关系、

产品和服务/计划。具体来说，这包括客户接收技术支

持或帐户支持的方式。这还可以包括辅助工具、客户

支持方案（包括质量）、用户组的可用性、服务级别

协议等。

运营：组织达成其目标和承诺的能力。其中的因素包

括组织结构的优劣，包括技能、经验、计划、体制和

能够使组织持续有效运作的其他手段。

前瞻性市场认知：供应商在了解购买者需求，并在产品和服

务上体现出来的能力。具有最高前瞻性的供应商会聆

听并理解购买者的需求，利用他们的远见卓识，实现

或提升这些需求。

市场营销策略：组织具有一套独特明晰的宗旨，且在

组织内始终贯彻如一，并通过网站、广告、客户计划

和品牌定位对外传达。

销售策略：使用适当的直接销售和间接销售、市场营

销、服务和通信联盟的网络，销售产品的策略，这些

方法可扩展市场研究、技能、经验、技术、服务和客

户群的广度和深度。

市场定义/描述本文档于 2015 年 7 月 21 日进行了修订。您现在看到的是正确的版本。详细信息，请参见 gartner.com

的 Corrections 页面。

客户为了在早期检测目标攻击和数据泄露，需要实时对事件数据进行安全分析，而且，为了响应事件、进

行鉴识分析并遵从法规，需要收集、存储、分析和报告日志数据，所有这些需求，造就了安全信息和事件

管理 (SIEM) 市场。入选“魔力象限”分析的供应商已经具有为此目的而设计的技术，而且，他们主动将这

些技术推销给安全购买中心。

SIEM 技术会聚集安全设备、网络基础结构、系统和应用程序所生成的事件数据。主要的数据源是日志数

据，但 SIEM 技术也能够处理其他形式的数据，如 NetFlow 和网络包。事件数据与用户、资产、威胁和

漏洞相关的背景信息相结合。数据经过规范化，因此不同来源的事件、数据和背景信息可以按照特定目

的进行关联和分析，如网络安全事件监视、用户活动监视和合规性报告。SIEM 技术会提供事件的实时关

联，来进行安全监视、查询和分析，以便对事件调查和合规性报告提供历史分析和其他支持。

魔力象限

图 1. 魔力象限之安全信息和事件管理

http://www.gartner.com/technology/reprints.do?id=12JM4RVZ&ct=150720&st=sb 1/13

2015/7/24

来源：Gartner（2015 年 7 月）魔力象限之安全信息和事件管理

产品（服务）策略：供应商对产品开发和交付使用的

方式，其着眼于它们与当前和未来需求相对映时，所

表现出来的独特性、功能性、方法和功能集。

业务模型：供应商基础业务陈述的合理性和逻辑性。

垂直/产业策略：供应商在直接资源、技能和产品满足

个别消费群（包括垂直市场）特定需求方面的策略。

创新：基于投资、合并、防御或先发制人的目的，供

应商对资源、专家和资金的直接、相关、补充和协同

布局。

地理策略：供应商为满足本国或本地区之外地理位置

的特定需求，在直接资源、技能和产品方面所使用的

策略，可能是直接或通过适合于该地理位置和市场的

合作伙伴、渠道和子公司。

供应商优势和注意事项 AccelOps

AccelOps 提供完全集成的 SIM 和安全事件管理 (SEM)、文件完整性监视 (FIM)、配置管理数据库

(CMDB) 和可用性与性能监视 (APM) 功能。供应商主要关注的是其在安全运营和受管安全服务提供商

(MSSP) 方面的 SIEM 解决方案，但是 AccelOps 还提供紧密集成的 APM 解决方案。

MSSP 客户一般同时使用 SIEM 和 APM 功能，来为其客户提供广泛的安全和设备运行状况监视服务。

对于终端用户客户而言，在大部分情况下，他们关注的是 SIEM，但是，大约有 25% 的终端用户客户添

加了 APM 组件。

去年的更新中已经包含与开放式源代码和商业威胁情报订阅源的全新集成、将补救活动与特定关联规则相

关联的全新功能，以及新增超过 200 个全新报告模板。AccelOps 还发布了 Visual Analytics，添加了动

态生成的交互式 HTML5 仪表板。此外，还添加了工作流程集成的 API，以及 ServiceNow、ConnectWise、

Landesk 和 Remedyforce 的双向本机支持。

AccelOps 适合于那些需要将安全监视和 APM 与集成 CMDB 功能相结合的企业和 MSSP。它还特别适

合于具有结合运营和安全职能的 IT 运营团队。

优势

AccelOps 结合了 SIEM、FIM 和 APM 功能，可用于从基于日志和 NetFlow 事件源，统一安全和

运营监视。

AccelOps 着眼于集成运营和安全功能，以支持补救和事件管理。

供应商对在虚拟环境，以及公用、私用和混合云端中进行部署，提供强力支持。

客户报告该技术相对易于部署，对自定义的深度和灵活性作出积极反馈。AccelOps 参考客户对可伸

缩性和性能、预定义报告、报告创建和自定义、特别查询的易用性和有效性、产品稳定性和支持体验

满意度的平均评分，超过所有参考客户在那些领域的平均评分。

注意事项

对一些第三方安全技术（如数据丢失防护 (DLP)、应用程序安全测试、网络鉴识和深度包检测 (DPI)）

提供基本的现成可用支持。

AccelOps 参考客户对预定义关联规则和自定义这些规则的便利性满意度的平均评分低于所有参考

客户在那些领域的平均评分。

AccelOps 在 SIEM 的竞争力评估中，知名度相对较低。

AlienVault AlienVault Unified Security Management (USM) 解决方案提供 SIEM、漏洞评估 (VA)、资产发现、网络和

主机入侵检测 (NIDS/HIDS)，以及文件完整性监视 (FIM)。AlienVault USM 可对所有 AlienVault 组件进行

集中配置和管理。AlienVault USM 由开放式源代码组件组成，例如 OpenVAS (VA)、Snort、Suricata (IDS)

和 OSSEC (HIDS/FIM)，它将这些组件与 SIEM 相结合，以提供统一的安全解决方案。AlienVault 还提供

开放式源代码 SIM (OSSIM)，这是其解决方案的免费开放式源代码版本，具有精简的功能集。AlienVault

USM 对 OSSIM 进行了扩展，包括伸缩加强功能、日志管理、统一管理和报告，以及 MSSP 联合。该

供应商还提供 AlienVault Open Threat Exchange 和 Threat Intelligence。AlienVault 的 Open Threat

Exchange 社区可共享因特网协议 (IP) 和 URL 声誉信息。AlienVault Labs 为其商业产品提供集成的威

胁情报订阅源，其中包括签名、漏洞、关联性、报告和事件响应内容的更新。

AlienVault USM 可作为设备、软件和虚拟映像提供，也可通过 Amazon Elastic Compute Cloud (EC2) 提

供。USM 的传感器、记录器和服务器组件可组合在一个系统（一体化体系结构）中进行部署，或者作为

个别服务器，在水平和垂直层中进行部署，以扩展到各种客户环境。

在 2014 年年末，AlienVault 发布了适合于 Amazon Web Services (AWS) 的 USM，它是一款专用的本机

EC2 产品，可提供资产发现、AWS 基础结构和漏洞评估，以及 Amazon CloudTrail 监视功能等等。该供

应商的目标市场是那些安全性管理人员较少、安全性计划有限、需要多种集成安全技术，而成本又不高且

更容易实现的那些企业。需要以相对较低成本实现广泛集成安全功能的组织，以及接受基于开放式源代码

的商业支持产品的组织，可以考虑使用 AlienVault USM 平台。

优势

AlienVault USM 提供各种集成的安全功能，包括 SIEM、文件完整性监视、漏洞评估、资产发现，以

及基于主机和基于网络的入侵检测系统。

参考客户指出软件和设备产品比 SIEM 领域大多数竞争对手的相应产品集更便宜。

AlienVault 基于所利用的设备而非每秒事件数 (EPS)，提供简化的许可模型。

AlienVault 参考客户对预定义关联规则和报告，以及创建自定义关联规则能力的满意度平均评分，高

于所有参考客户在那些领域的平均评分。


2015/7/24

注意事项


尽管集成的组合功能提供了优于部件的安全性状态，但是，在许多情况下，它们是开放式源代码，并

不是最好的。

身份和访问管理 (IAM) 集成仅限于 Active Directory 和 LDAP 监视，且应用程序集成主要是与开放

式源代码应用程序进行。

AlienVault 的工作流程功能不包括与工作流程分配的外部目录相集成。

AlienVault 参考客户对创建和自定义报告的便利性、特别查询的易用性和有效性、产品质量和稳定性，

以及支持体验满意度的平均评分低于所有参考客户在那些领域的平均评分。 BlackStratus

BlackStratus 有三种产品：Log Storm、SIEM Storm 和 Compliance Storm。Log Storm 提供面向 MSSP

和中小型企业的日志管理功能，其可作为虚拟和硬件设备提供。SIEM Storm 提供诸如多租户和安全事件

管理 (SEM) 等功能，包括分析、历史关联和威胁情报集成，可作为软件或虚拟映像进行部署。SIEM Storm

可以和 Log Storm 一起进行部署，将其用作存储和收集层。Compliance Storm 于 2014 年引入，是基于

云的日志保留和预定报告服务，用于满足法规和合规性要求。

Log Storm 和 SIEM Storm 提供由 SANS 七步事件补救过程引导的集成事件管理和凭单系统，SIEM

Storm 还允许跟踪 SLA 度量，以适应 MSSP 和以服务为中心的环境。

在过去的 12 个月中，BlackStratus 增添了统一的跨租户报告和监视功能。BlackStratus 适合于那些需要

自定义 SIEM 平台的服务提供商，以及那些寻求完全多租户支持的以服务为中心的终端用户组织。

优势

Log Storm 和 SIEM Storm 提供双向集成 API，可启用定制服务体系结构。

SIEM Storm 可为角色提供大量现成可用的专门用途仪表板，如安全运营中心 (SOC) 支持。Log

Storm 和 SIEM Storm 包括基于 SANS 七步补救过程的完全集成事件和凭单管理系统。

BlackStratus 提供基于后端存储器的简化许可模型，而非基于 EPS 的模型。

BlackStratus 参考客户对产品质量和稳定性，以及支持体验满意度的平均评分，高于所有参考客户在

那些领域的平均评分。

注意事项

第三方数据源的现成可用支持有限，可能经常需要自定义脚本。

BlackStratus 只有选择性技术集成伙伴关系或深度第三方集成。

目前不支持诸如商业威胁情报订阅源、网络鉴识/DPI 和 IAM 集成等高级安全功能。BlackStratus 的

目标客户群主要是安全服务提供商，在对终端用户部署的竞争力评估中，知名度不高。

BlackStratus 参考客户对整体可伸缩性和性能、有效性、预定义关联性和报告的自定义，以及特别查

询的易用性和有效性满意度的平均评分，低于所有参考客户在那些领域的平均评分。 EMC (RSA)

EMC 安全部门 RSA 研发的 Security Analytics 在日志、完整网络包、NetFlow 和端点数据捕获方面颇

具知名度。该系统执行实时监视和警报、鉴识调查、分析和事件管理。该平台包括用于数据采集的物理和

虚拟设备，解码器捕获并扩充网络及日志数据，集线器对数据进行索引，代理从集线器聚集数据，而事件

流分析服务器执行复杂的关联、事件处理、警报和事件管理。归档工具提供长期数据存储，RSA 数据科

学模型对历史数据提供复杂的分析。该解决方案的元素可以组合在一个设备中，也可以分布在多个设备中，

以满足客户部署需求。RSA Live 是基于云的订阅源，可提供自动内容更新，包括关联规则、报告和威胁

情报订阅源。

最近的功能改进包括具有工作流程功能的内置事件管理、NetFlow 支持和 CEF 日志格式支持。其他改进

包括操作功能，可更轻松地执行 Security Analytics 平台的软件升级、故障管理和运行状况监视。

如果有安全意识的组织需要在威胁检测和调查方面使用基于日志和网络级别的监视，且拥有事件响应团队

（或 SOC）或相关服务提供商，来配置和调整复杂的技术，则应该考虑使用 RSA Security Analytics。

优势

RSA 的 Security Analytics 平台能兼容网络包、NetFlow、端点和日志数据，集成了分析功能、事件

监视、调查与威胁情报。

模块化部署选项使得客户可以根据需要，选择网络或事件与日志监视和分析功能。

与 RSA Archer 技术的集成可提供额外的背景数据、工作流程、事件管理、运行手册、报告、管理分

析和度量，以支持 SOC 需求。


2015/7/24

注意事项

RSA 参考客户对可伸缩性、预定义规则和报告、规则和报告自定义功能、特别查询、产品质量和稳

定性，以及支持体验满意度的平均评分，低于所有参考客户在那些领域的平均评分。现成可用的 Security Analytics 用户界面仅提供基本功能。预定义视图和仪表板和竞争对手的相比，

需要进行更多自定义。

Security Analytics 仅提供基本的事件管理功能。更多工作流程功能需要与 RSA Security Operations

Management 集成才能使用。

EventTracker

EventTracker 的 SIEM 软件和服务产品主要面向具有 SEM 和合规性报告需求的中型商业企业和政府组

织。Center 仅作为软件提供，可提供 SIM 和 SEM 功能。EventTracker 代理程序提供文件完整性监视

和 USB 控制的支持。同时提供可用于漏洞和配置评估的附加组件。通过行为模块提供基本概要描述功能，

可为用户划定可配置时间的基线，也可在发生与正常活动偏离的任何事件时，发出警报。通过脚本 API，

可执行补救操作。在 2014 年期间，EventTracker 增加了对威胁情报订阅源的支持，扩展了其有关攻击特征的订阅源，并改

进了对分析应用程序日志的支持。内部部署、AWS 和 Azure 安装的服务产品也可供终端用户购买者和受

管服务合作伙伴使用。如果有中型企业需要基于软件的解决方案，用于通过内部部署或云托管 SIEM，进行日志和事件管理、合

规性报告和运营监视，同时具有可选的基本监视服务，则应该考虑使用 EventTracker。

优势

EventTracker 易于部署和维护，针对合规性和用例提供了专用的知识包，预构建了警报系统和关联规

则与报告。

EventTracker 参考客户对可伸缩性和性能、预定义关联规则与报告、创建和修改报告模板、特别查询、

产品质量和稳定性、以及技术支持满意度的平均评分，高于所有参考客户在那些领域的平均评分。

EventTracker 包括行为分析模块，可提供概要描述和异常检测功能。

定期日志复查、审计协助和运行状况检查等服务，可通过供应商，以较低成本提供。

注意事项

该供应商的目标是中型市场，但并不像其他也面向此客户群的 SIEM 供应商那样具有知名度，在客

户候选名单中并不常见。

EventTracker 缺乏与许多高级技术（如用户行为分析、高级威胁检测和网络鉴识）的集成。

EventTracker 与其他面向企业部署的 SIEM 产品相比，其应用程序监视功能更为有限，这是因为它

们缺乏与主要打包应用程序的集成。

包括凭单在内的完整事件管理需要外部解决方案。

HP

HP 的 ArcSight SIEM 解决方案包括 Enterprise Security Manager (ESM) 软件（适用于专注于 SEM 的

大型部署）和 ArcSight Express（基于设备的 ESM 产品，适用于具有预配置监视和报告功能的中型市

场）。ArcSight Logger 设备和软件提供日志数据收集和管理功能，可独立实现或与 ESM 一起实现。HP 提

供附加的模块，如 Application View 和 HP ArcSight User Behavior Analytics，前者基于 HP Fortify 技术，

提供运行时应用程序可见性，后者基于与 Securonix 的技术合作伙伴关系，提供集成的用户行为分析

(UBA) 功能。ArcSight 许可主要基于每天的消耗 (GB)。 HP 在 2014 年增加了很多改进，尤其是 ArcSight ESM 的完全集成高可用性功能、ArcSight Logger 的

更新 Web UI，以及 ArcSight Management Center 的加强功能，其中包括加强的运行状况监视和分布式

管理功能。中型 SIEM 部署应该考虑使用 ArcSight Express。ESM 适合于大规模部署，只要有足够的内部支持资源

可用即可。它也适合于那些想要构建专用 SOC 的组织。

优势

ArcSight ESM 提供完整的 SIEM 功能集，可用于支持 SOC，包括完整事件调查和管理工作流程。

HP ArcSight User Behavior Analytics 与 SIEM 一起，提供真正且完整的 UBA 功能。

HP ArcSight 具有各种现成可用的第三方技术连接器和集成。

ArcSight 在 SIEM 技术的竞争力评估中，持续保持较高知名度。

注意事项

用户反馈指出 ArcSight ESM 的胖客户机控制台 UI 被认为是过时的。HP 计划在近期发布基于

Web 的界面。

HP ArcSight 部署建议通常包括比同类产品更专业的服务。

客户仍不断提供反馈，指出他们发现 ESM 比其他领先的解决方案更复杂。

ArcSight 参考客户对可伸缩性和性能、预定义关联规则的有效性、自定义这些规则的便利性、报告创

建和修改、查询功能，以及产品质量和稳定性满意度的平均评分，低于所有参考客户在那些领域的平

均评分。Gartner 客户指出客户支持是一个常见问题。




IBM Security

IBM Security 的 QRadar Platform 包括 QRadar SIEM、Log Manager、Vulnerability Manager、Risk

Manager、QFlow Collector 和 VFLow Collector，以及 Incident Forensics。QRadar 可以作为设备、虚拟

设备或 SaaS/基础结构即服务 (IaaS) 进行部署。组件可以在一体化解决方案中部署，也可以使用个别设

备，针对不同功能进行伸缩。QRadar 技术可针对所有受支持的来源，收集并处理日志数据、NetFlow 数

据、DPI、完整包捕获和行为分析。最近的加强功能包括跨日志、流数据、威胁情报和漏洞与资产数据的事件鉴识支持、新数据存储设备、改

进的查询支持。现在，还提供通过当前关联规则，重放历史事件数据的功能。IBM 计划改进事件响应工作

流程功能，启用威胁情报数据的共享，并引入更高级的事件调查和响应的分析支持。 IBM 为 QRadar 提供了混合交付选项，可以进行内部 QRadar 部署，执行在 IBM Cloud 上托管的 SaaS

解决方案，且可选择从 IBM 受管安全服务运营中心进行远程监视。具有一般 SIEM 需求的中到大型企业，

以及那些需要行为分析、网络流和包分析用例的企业，应该考虑使用 QRadar。

优势

QRadar 提供日志和事件数据的集成视图，其中包括 NetFlow 和包、漏洞和资产数据，以及威胁情

报。

客户反馈指出在适中和大型环境下进行部署和维护的技术相对简单明了。

QRadar 为 NetFlow 和日志事件提供行为分析功能。

IBM 参考客户对可伸缩性和性能、预定义关联规则的有效性、报告创建、特别查询、产品质量和稳

定性，以及技术支持满意度的平均评分，高于所有参考客户在那些领域的平均评分。

注意事项

与竞争对手的产品相比，QRadar 为工作流程分配所提供的角色定义和企业目录的集成不够细致。 QRadar 客户报告早期版本的 QRadar Vulnerability Manager 存在问题，包括功能有限、不稳定、功

能更新较晚和支持延迟。 Intel Security

Intel Security 提供 McAfee Enterprise Security Manager，其结合了 SIM 和 SEM 功能，可作为物理、

虚拟或软件设备提供。构成 SIEM 产品的三个主要组件是 Enterprise Security Manager、Event Receiver

(ERC) 和 Enterprise Log Manager，它们可以作为一个实例一起部署，也可以针对分布式或大型环境分别

部署。使用广泛的专用附加组件产品（如 Advanced Correlation Engine (ACE)、Database Event Monitor (DEM)、

Application Data Monitor (ADM) 和 Global Threat Intelligence (GTI)，可以扩展和加强各功能。在过去 12 个月中发布的加强功能包括支持 AWS 部署和新仪表板，以进行风险分析和网络威胁管理，以

及改进的案例和事件管理功能。McAfee Enterprise Security Manager 还发布了与 McAfee Advanced

Threat Defense (ATD) 和 Threat Intelligence Exchange (TIE) 集成，以进行高级威胁监视和防御。 McAfee Enterprise Security Manager 适合于那些利用其它 Intel Security 技术的组织，以及那些寻求集成

安全框架中包括高级威胁防御或工业控制系统监视的组织。

优势

终端用户指出现成可用的第三方设备支持是其一大优势。Intel Security 参考客户对可伸缩性、报告自

定义、特别查询、以及支持体验满意度的平均评分，高于所有参考客户在那些领域的平均评分。

与 Intel Security Enterprise Security Database Event Monitor 和 Application Data Monitor 的深度集

成，为所选择的技术提供深层次的数据库和应用程序监视。

Enterprise Security Manager 对监视操作技术（工业控制系统 [ICS]），以及主管控制和数据采集

(SCADA) 设备，提供强大的支持。

客户报告集成多个 McAfee 安全产品通常会产生良好的协同效应，同时会提供比其他组合方式更好

的解决方案。

注意事项

Intel Security 在各领域（如端点情报和自动响应）的许多高级 SIEM 特性和功能需要与其他 Intel 组

合产品集成或者在这些产品上做进一步投资。一些产品需要 ePolicy Orchestrator (ePO)，才能充当中

间件。

NetFlow 可用于生成事件和警报，但不会自动用于扩充基于日志的-事件。

用户反馈指出 9.4.x 版存在一些稳定性和性能问题。Intel Security 参考客户对预定义关联规则有效性

和自定义、预定义报告及新报告创建，以及产品质量和稳定性满意度的平均评分，低于所有参考客户

在那些领域的平均评分。



LogRhythm

LogRhythm 以设备和软件为基础的 SIEM 解决方案面向的是中到大型企业。LogRhythm 的 SIEM 包含

几个统一的组件：Event Manager、Log Manager、Advanced Intelligence Engine (AI Engine) 和控制台。

对于分布式日志收集，可以使用 Site Log Forwarders，对于 Linux、Unix 和 Windows，也提供代理程序，

以进行本地日志收集。通过 LogRhythm 的 Network Monitor，支持网络鉴识功能（如 DPI、NetFlow 监

视和完整包捕获）。LogRhythm 的 System Monitor Agents 包括基本主机活动监视功能，如系统进程监

视、Windows、Linux 和 Unix 的文件完整性监视和 Windows 注册表监视。

在去年，LogRhythm 增加了新的事件响应和案例管理工作流程功能，其中包括集中式证据柜和事件响应

合作工具。它还扩展了日志规范化支持设备和网络监视应用程序的范围。AI Engine 已得到更新，以包括

基于风险的概要描述和行为分析，从而识别网络、用户和设备活动的统计异常。

LogRhythm 特别适合于那些需要 SIEM、端点和网络监视功能集成组合的组织，以及那些通过“自己打造”

监视方法，注重部署易用性和预定义功能的组织。

优势

LogRhythm 将 SIEM 功能与端点监视、网络鉴识和事件管理功能相结合，以支持安全运营用例。

Gartner 收到一致的用户反馈，指出 LogRhythm 的解决方案在部署和维护方面简单明了，同时提供

有效的现成可用用例和报告模板。

LogRhythm 参考客户对可伸缩性和性能、预定义规则的有效性、预定义报告的实用性、预定义查询

的易用性和有效性、产品质量和稳定性，以及支持体验满意度的平均评分，高于所有参考客户在那些

领域的平均评分。

LogRhythm 在 Gartner 客户的 SIEM 技术竞争力评估中，持续保持较高知名度。

注意事项

用户反馈指出创建新报告模板可以更直观。

用户报告注重于警报趋势的报告选项有限。 Micro Focus (NetIQ)

在 2014 年 11 月，Micro Focus 收购了 NetIQ（作为 Attachmate 的一部分）。在 2015 年 4 月，Micro

Focus 宣布 NetIQ 产品将被放入 Micro Focus 产品组合；SIEM 和其他产品的品牌和打包更改可能会在

2015 年发生。NetIQ SIEM 由三个包组成：Sentinel、Sentinel Log Manager 和 Change Guardian。同时

提供可选的主机监视代理程序。Sentinel 和 Change Guardian 都以软件和虚拟设备部署提供。Sentinel 与

其他核心 NetIQ 技术（AppManager、Identity Manager、Access Manager、Directory and Resource

Administrator 和 Secure Configuration Manager）相集成。在过去的 12 个月中，NetIQ 对 Sentinel 进

行了适度的加强。开发计划包括对大规模数据存储和分析提供更多支持、加强和扩展当前分析、提供更好

的可视化和用户界面，以及对威胁交换格式提供支持。

Sentinel 适合于那些在高度分布式环境（如零售）中，需要大规模安全事件处理的组织，也特别适合于那

些已部署 NetIQ IAM 基础结构，但需要使用身份背景信息进行安全监视的组织。

优势

Sentinel 和 Sentinel Log Manager 适合于注重 SEM 和威胁监视的大规模部署。

与其他 NetIQ 技术的集成可提供各种功能，以支持用户监视、身份和端点监视，以及实施/响应用例。

对于需要服务器用户和数据访问监视的用例，NetIQ 代理程序技术可以提供超出本机平台审计功能或

无代理程序方法的有保证交付机制。

NetIQ 客户在 Sentinel 的报告创建和自定义，以及特别查询的易用性方面，给出了平均分或超过平

均分的分数。

注意事项

NetIQ Sentinel 在 Gartner 客户的 SIEM 竞争力评估中，知名度较低。

NetIQ 提供通用功能，可拉取数据以提供背景信息，也可以从大数据存储库导入数据。但是，它并不

提供与实体行为分析平台等解决方案的特定集成。

NetIQ 具有集成威胁情报订阅源的通用能力，以及对开放式源代码订阅源（例如，恶意软件）和

Webroot 的打包支持。不过，这种支持仍然落后于竞争对手。

与一些竞争对手相比，在根据相关规则重放历史事件数据方面，其结果的实用性和报告功能有限。

NetIQ 参考客户对可伸缩性和性能、关联规则自定义、预定义报告的实用性、特别查询的有效性、产

品质量和稳定性、以及支持体验满意度的平均评分，低于所有参考客户在那些领域的平均评分。 SolarWinds

SolarWinds Log & Event Manager (LEM) 软件是虚拟设备。SolarWinds 将 LEM 定位为易于部署和使用

的 SIEM，旨在供资源受限且对大数据高级分析或恶意软件检测集成没有需求的安全团队使用。LEM 已

与 SolarWinds 用于运营监视的其他产品相集成，以支持诸如更改检测和根本原因分析等活动。

SolarWinds LEM 适合于那些需要易于部署的 SIEM 技术的小型或中型公司，以及那些使用其他

SolarWinds 运营监视组件的公司。



优势

SolarWinds LEM 易于部署，其以仪表板和预定义关联规则和报告的形式，提供扩展内容。

该技术非常适合于那些已在该供应商其他技术解决方案上投资的组织。

SIEM 对端点 USB 和隔离控制的自动响应功能可通过 Windows 系统的代理程序使用。

SolarWinds 参考客户对整体可伸缩性和性能、预定义规则的有效性、预定义报告的实用性、产品质

量和稳定性，以及支持体验满意度的平均评分，高于所有参考客户在那些领域的平均评分。

注意事项

SolarWinds LEM 提供基本的统计和行为分析，但没有与用户行为分析工具或数据仓库技术集成。LEM

可以从有限数目的恶意软件检测或“沙箱”技术，获得警报。

需要更广泛用户和应用程序或 Web 监视的客户必须获得其他 SolarWinds 产品，才能扩展 LEM 中

提供的功能。

虽然 LEM 包括本机流捕获和显示功能，但是流数据在 LEM 的实时关联中并不可用，且包捕获也不

受支持。 Splunk

Splunk Enterprise 和 Splunk Cloud 使用超过 100 个统计命令，提供搜索、警报、实时关联和支持可视

化的查询语言。Splunk 在 IT 运营和应用程序支持团队中得到广泛部署，以用于日志管理、分析、监视

和高级搜索和关联。在许多情况下，Splunk 对运营的支持使得其成为实施 SIEM 的可选技术，而 Gartner

客户通常会在 SIEM 的候选名单中加入 Splunk。Splunk App for Enterprise Security 提供预定义报告、仪

表板、搜索、可视化和实时监视功能，以支持安全监视和合规性报告用例。

Splunk 持续加强 App for Enterprise Security、预定义安全指示器和仪表板和可视化，并改进对有线数据

捕获和分析的支持。新高级查询和数据透视可更轻松地访问先前仅可通过 Splunk 查询语言使用的功能。

Splunk 可以作为内部部署软件、在公用或专用云中、作为 Splunk (Splunk Cloud) 的 SaaS 产品或以任

何组合（混合），针对 SIEM 进行部署。 Splunk 支持广泛的威胁情报订阅源，包括用于导入和共享订阅源的 STIX/TAXII 格式。如果组织需要可自

定义的 SIEM 平台，以支持广泛分析功能和各种日志格式，则应该考虑使用 Splunk；而那些具有跨越安

全和 IT 运营支持用例的组织，也应该考虑使用 Splunk。

优势

Splunk 在 IT 运营组中的大规模部署，可以让安全组织及早亲自实践其一般日志管理和分析功能，

按照运营部门为关键资源进行“预 SIEM”部署，并对以扩展安全为主的部署提供内部运营支持。

Splunk 客户指出可视化和行为、预测和统计分析，是高级监视用例（如检测用户对敏感数据的异常

访问）的有效元素。

Splunk 对来自商业和开放式源代码的大量外部威胁情报订阅源，具有加强的内置支持。

Splunk 参考客户对可伸缩性和性能、有效和有用的预定义规则和报告、规则和报告的自定义功能、

报告创建、特别查询的易用性和有效性、产品质量和稳定性，以及支持体验满意度的平均评分，高于

所有参考客户在那些领域的平均评分。

注意事项

Splunk App for Enterprise Security 对用户监视的预定义关联性，提供基本的支持。潜在购买者应该

预料到修改那些关联性并构建自己的关联性，以实现更多高级用户监视用例。

工作流程和案例管理功能落后于竞争对手。具有成熟 SOC 过程的组织可能需要对这些功能进行自定

义，或必须将这些功能与第三方技术集成。

Splunk 的许可模型基于每天索引的数据量。客户报告该解决方案的成本要比那些预期高数据量的其

他 IEM 产品高。 Trustwave

在 2015 年 4 月，Singtel Group (Singtel) 宣布其有意收购 rustwave，而 Trustwave 继续作为独立的业

务部门进行运作。在撰写本报告的时间点，该项交易仍在等待法规批准。Trustwave 的主要业务是受管安

全服务、漏洞评估和合规性服务。Trustwave 还提供广泛的安全产品组合，包括安全 Web 和电子邮件网

关、DLP、Web 应用程序防火墙、网络访问控制、统一威胁管理 (UTM)、安全扫描和加密技术。此产品

组合的核心是几个配置中的 SIEM 可交付产品，用于满足各种需求，从大型企业、面向 SEM 的部署，

到具有更多适中 SEM 需求的中型部署。

Trustwave 具有三个 IEM 产品选项：Log Management Appliances、SIEM Enterprise 和 SIEM Operations

Edition (OE)。SIEM Enterprise 和 Log Management Appliances 可作为物理或虚拟设备提供。在 2014

年，Trustwave 部署了 UI 和仪表板改进功能，升级了硬件产品，并进一步将其 Threat Correlation

Service 集成到 Log 和 SIEM 产品中。 Trustwave 适合于那些想要将 SIEM 作为技术和服务选项完整组合，以满足威胁管理和合规性需求的中型

组织。



优势

Singtel 的并购应该会在亚太地区和 Singtel 具有业务和品牌认可度的其他市场中，获得更好的销售机会

和支持功能。

Trustwave SIEM 产品包含广泛的部署形式和服务选项，其中包括混合选项，可支持具有有限内部资源的

客户使用技术管理或安全分析。

SIEM Enterprise 提供关联性、容量和自定义功能，适合于具有大量事件监视需求的客户。

Trustwave 的自我复原网络产品利用 rustwave 的 SIEM 产品，来提供自动响应功能，如隔离和加入黑

名单。

Trustwave 参考客户对自定义关联规则和报告模板的便利性满意度的平均评分，高于所有参考客户在那

些领域的平均评分。

注意事项

Trustwave 在 Gartner 客户的 SIEM 产品竞争力评估中，知名度不高。

对外部数据仓库或大数据技术的支持仍在开发中，还没有在 Trustwave 的 SIEM 产品中提供。该供应

商在支持云环境监视方面，落后于竞争对手。Trustwave 的 SIEM 产品不支持 Amazon CloudTrail 或

平台即服务环境。

Trustwave 参考客户对可伸缩性和性能、预定义规则的有效性、预定义报告的实用性、创建新报告、特

别查询的易用性和有效性、产品质量和稳定性，以及整体支持体验满意度的平均评分，低于所有参考客

户在那些领域的平均评分。

客户应该监视 Trustwave 的 SIEM 路线图，以确保开发优先级在计划的 Singtel 收购之后，仍然与客

户体验保持一致。

新增和排除的供应商市场发生变化时，我们会复审和调整“魔力象限”和“市场范围”的入选条件。鉴于这些调整，任何“魔力象限”

或“市场范围”中的供应商组合可能会随时间而变化。某个供应商今年在“魔力象限”或“市场范围”中出现，而

明年又不在，并不表示我们改变了对该供应商的看法。这可能是由于市场中发生了变化，并因此改变了评估

标准，又或者是该供应商的重点发生了变化。

新增的供应商

“魔力象限”中未新增任何供应商。

排除的供应商

TIBCO Software 不再将其 LogLogic 产品定位为 SIEM。 Tenable Network Security 的 Security Center 和 Log Correlation Engine 现在定位为 SIEM 的补充技

术。这些产品可以支持一些 SIEM 用例，但未作为 SIEM 在市场上销售。

入选和排除条件入选 2015 SIEM“魔力象限”的供应商必须满足下列条件：

产品必须提供 SIM 和 SEM 功能。

产品必须支持从异构数据源（包括网络设备、安全设备、安全程序和服务器）捕获数据。

供应商必须出现在终端用户组织的 SIEM 产品评估清单中。

解决方案必须作为基于软件或基于设备的产品（非服务），交付至客户环境。下列情况下，会排出供应商：

他们提供的 SIEM 功能主要面向来自其自己产品的数据。

他们将其产品定位为 SIEM 产品，但这些产品未出现在终端用户组织的竞争候选名单中。

他们 2014 年的 SIEM 产品收入低于 1,350 万美元。

解决方案作为受管服务专门提供。 2014 年，SIEM 的市场为 16.9 亿美元，增长了 12.5%，而 2015 年的预期增长率为 10.9%。排除时，Gartner

考虑的是供应商在该市场的收入和相对知名度。2014 年的收入门槛为每年 1,350 万美元（净新许可收入外

加维护收入）。知名度以下列因素计算：通过客户查询是否出现在 Gartner 客户候选名单中、在 gartner.com

上的搜索参考、是否出现在供应商提供的参考客户候选名单中，以及其他 SIEM 供应商提及其为竞争对手的

次数。

评估标准

执行力 “产品或服务”会评估供应商在实时安全监视、安全分析、合规性报告和部署简便性等领域，提供产品功

能的能力和跟踪记录。整体知名度包括评估技术提供商的财务状况、整体公司的财务及实践成功与否，以及技术提供商继续在

SIEM 技术客户群上进行投资的可能性。



销售执行/定价会评估技术提供商在 SIEM 市场上成功与否，及其在售前活动中的能力。这包括 SIEM 收

入和现有客户群大小、SIEM 收入和现有客户群的增长率、售前支持，以及销售渠道的整体有效性。

Gartner 客户的感兴趣程度也会考虑在内。

市场响应性/记录会评估 SIEM 产品与收购时购买者所说明的功能需求的匹配程度，以及在市场需要新

功能时，供应商提供这些新功能的跟踪记录。同时考虑的还包括供应商如何将其产品与主要竞争对手的

产品相区分。

市场营销执行会评估 SIEM 市场营销理念相对于我们对客户需求的理解，同时还会评估产业垂直或地理

客户群所造成的任何差异。

客户体验会评估生产环境中的产品功能和服务体验。该评估包括部署、运营、管理的易用性、稳定性、

可伸缩性和供应商支持功能。评估这一标准时，会对供应商提供的参考客户进行定性访谈，同时参考正

在使用或已完成 SIEM 产品竞争力评估的 Gartner 客户的反馈。

运营会评估组织的服务、支持和销售能力，包括跨多个地理位置来评估这些功能。

表 1. 执行力评估标准评估标准

产品或服务总体可行性销售执行/定价市场响应性/记录市场营销执行客户体验运营

来源：Gartner（2015 年 7 月）

权重

高高高高中高高

前瞻性市场认知会评估技术提供商在了解购买者需求，并在产品和服务上体现出来的能力。对市场认知程度最高的

SIEM 供应商会在下列领域适应客户需求，同时满足合规性报告需求：早期目标攻击和数据泄露检测，以及

简化的实现和操作。市场营销策略会评估供应商有效传达其 SIEM 产品价值和竞争优势的能力。销售策略会评估供应商使用直接销售和间接销售、市场营销、服务和通信联盟，来扩展市场到达的广度和深

度。

产品（服务）策略会评估供应商对产品开发和交付所使用的方式，其着眼于它们与 SIM 和 SEM 的当前需

求相对映时，所表现出来的功能性和功能集。同时还会评估在接下来的 12 到 18 个月期间的开发计划。由

于 SIEM 市场已经很成熟，因此在支持常用网络设备、安全设备、OS 和统一管理功能等领域方面，大部

分供应商之间几乎没有差别。在这个评估中，我们中和了在上述领域具有功能的供应商的相对评级，但是

对于在此领域具有短处的供应商而言，会获得严重的前瞻性惩罚。我们会继续在有助于目标攻击检测的当前

功能上增加权重，其中包括：

供应商进行概要描述和异常检测，以补充基于规则的现存关联性的功能。

威胁情报集成，包括在规则、警报和报告中自动更新、过滤和使用。

用户活动监视功能，包括针对自动导入访问策略（用户背景信息），监视管理策略更改，以及与 IAM

技术的集成，以便在监视中加以使用。我们还对预定义分析进行评估，以便进行用户行为分析。

数据访问监视功能，包括通过本机功能和与第三方产品的集成，直接监视数据库日志、与数据库审计

/保护产品的集成、DLP 集成，以及文件完整性。

应用程序层监视功能，包括与第三方应用程序（例如 ERP 财务和 HR 应用程序，以及产业垂直应

用程序）的集成，其目的是在该层进行用户活动和交易监视；外部事件源集成界面，用于定义组织内

部开发应用程序的日志格式；以及从外部来源获取应用程序背景信息的能力。

分析，一项用于支持早期检测目标攻击和数据泄露的重要功能。SIEM 供应商针对 SIEM 技术的主

要存储层，具有长期提供的查询功能。为了有效地在早期检测到数据泄露，分析功能必须引入有关用

户、资产、威胁和网络活动等背景信息，同时还必须提供可支持反复调查方法的查询性能。有些 SIEM

供应商已经引入个别“后端存储库”，旨在保留巨量安全事件、内容和背景数据，这些数据已经过优化，

可供分析之用。有些 SIEM 供应商还构建了从 SIEM 技术到通用大数据存储库的连接器。有少量“A

类型”的公司已经实现“个别分析后端存储库”方法的初始部署。

高级威胁检测、网络监视和包捕获功能的并入，以及与提供这些功能的第三方技术的集成，以更有效

地进行早期数据泄露检测。



不管供应商是否着眼于功能扩展，我们都继续对部署的简便性给予较高的权重。用户，特别是那些具有有

限 IT 和安全资源的用户，仍然将此属性的覆盖面看得过宽，超过了核心用例。SIEM 产品很复杂，而且

日趋更甚，因此供应商会不断扩展功能。如果供应商能够提供有效的产品，而用户可以使用有限的资源，

成功部署、配置和管理这些产品，那么这些供应商在该市场中就是最成功的。

我们评估 SIEM 技术和支持服务的共同管理或混合部署选项，因为日益增长的 Gartner 客户预期或要求

持续不断的服务支持，以监视或管理其 SIEM 技术部署。

垂直/产业策略会评估供应商支持特定于产业垂直客户群的 SIEM 需求的策略。

创新会评估供应商在开发和交付有别于竞争产品的 SIEM 技术时，所使用的方法是否与众不同，可满

足关键客户需求。同时还评估在应用程序层监视、欺诈检测和面向身份的监视等领域中的产品功能和客

户使用情况，以及其他产品专用且客户需要和部署的功能。安全监视和目标攻击发现所需的功能具有

较高权重：用户和数据访问监视、应用程序活动监视、特别查询和分析、概要描述和异常检测的功能/

计划，以及威胁情报。同时还会评估用于监视云工作负载的技术功能。

对于地理位置策略，虽然北美和欧洲 SIEM 市场产生大部分收入，但拉丁美洲和亚太地区是 SIEM 的

增长市场，主要表现在威胁管理方面，其次是合规性需求。我们在此“魔力象限”中对供应商的总体评估

包括评估供应商在那些地理位置的销售和支持策略。

表 2. 前瞻性

评估标准

市场认知市场营销策略销售策略产品（服务）策略业务模型垂直/产业策略创新地理策略

来源：Gartner（2015 年 7 月）

权重

高中中高未评级中高中

象限描述领导者

SIEM“领导者”象限中的供应商所提供的产品，在功能上非常符合一般市场需求，在 SIEM 市场中构建现

有客户群和收入流方面，已经取得最大成功，同时具有相对较高的知名度评级（由于 SIEM 收入或与其

他来源收入组合在一起的 SIEM 收入）。除了提供的技术能够很好地符合当前客户需求之外，领导者还在

新兴和预想需求方面，展现了出色的前瞻性和执行力。他们通常具有相对较高的市场份额及（或）强大的

收入增长性，且在有效的 SIEM 功能和相关服务与支持方面，展示出积极的客户反馈。挑战者

“挑战者”象限中的供应商具有多个产品及（或）服务线、至少有一个中型大小的 SIEM 客户群，其产品

符合一部分一般市场的需求。随着 SIEM 市场的不断成熟，挑战者的数目逐渐减少。此象限中的供应商

通常具有强大的执行功能，这一点从财务资源就可看出，其作为一个整体从公司或从其他因素已获得重要

的销售和品牌认知度。但是，挑战者没有展示出完整的 SIEM 功能集，或者他们与“领导者”象限中的供

应商相比，缺少其 SIEM 技术竞争成功的跟踪记录。远见者

“远见者”象限中的供应商所提供的产品，在功能上非常符合一般 SIEM 市场需求，但与领导者相比，具

有较低的“执行力”评级。此较低的评级通常是由于其与领导者相比，在 SIEM 市场上的影响力较小，衡

量的方法是现有客户群或收入的大小或增长性、或者总体公司大小或一般可行性。利基者

“利基者”象限中的供应商主要提供符合特定 SIEM 用例或一部分 SIEM 功能需求的 SIEM 技术。“利基

者”重点在特定的一部分客户群（如小型企业、服务提供商或特定地理位置区域或产业垂直客户群），或

者可以提供一组更为有限的 SIEM 功能。此外，根据 Gartner 条件中的一些因素，此象限中的供应商可

能具有较小或有限的现有客户群。这些因素可能包括有限的投资或功能、地理上有限的覆盖区或其他抑制

因素，导致现在和 12 月的计划期内，无法向企业提供更为广泛的功能集。入选此象限并不是从负面反映

供应商看重更狭隘的市场或用例。



背景

SIEM 技术提供： SIM — 日志管理、分析和合规性报告 SEM — 对来自网络、安全设备、系统和应用程序的安全相关事件，提供实时监视和事件管理

SIEM 技术通常部署用来支持三个主要用例：威胁管理 — 与有效的特别查询功能组合在一起，对用户活动、数据访问和应用程序活动提供实时

监视和报告合规性 — 日志管理和合规性报告提供混合威胁管理和合规性功能的 SIEM 部署

虽然已对许多 SIEM 部署提供资金支持，以满足法规合规性报告需求，但是成功目标攻击的增加已导致

越来越多的组织将 SIEM 用于威胁管理，以改进安全监视和早期数据泄露检测。SIEM 市场由支持所有这

三个用例的技术提供商组成；但是，对于每一个用例，功能的相对级别却存在差异：部署和支持的复杂度

方面、同时提供的相关功能的范围方面，以及对目标攻击检测相关功能的产品支持方面（如用户活动监视、

数据访问监视、应用程序活动监视、威胁情报和异常检测的使用）。今年的评估在支持目标攻击检测的功

能方面仍然给出较高权重。伴随本次研究，我们还评估了此“魔力象限”中供应商在上述三个主要用例方面

的 SIEM 技术（请参见“安全信息和事件管理的关键功能”）。组织应该基于特定功能和运营需求，考虑此“魔力象限”每一个象限中供应商的 SIEM 产品。选择产品时，

应该基于组织在各领域的特定需求，如合规性和威胁管理的相对重要性；部署的规模；SIEM 产品部署和

支持的复杂度；IT 组织的项目部署和技术支持功能；身份、数据和应用程序监视需求；以及与所建立应

用程序、数据监视和身份管理基础结构的集成（请参见“工具箱：安全信息和事件管理 RFP”）。考虑 SIEM 部署的安全经理应该首先定义 SEM 和报告的需求。需求定义工作应该包括后续部署阶段所

需的功能。项目将从其他组的输入受益，包括审计/合规性、身份管理、IT 运营和应用程序拥有者（请参

见“如何部署 SIEM 技术”）。组织还应该描述其网络和系统部署拓扑，并评估事件率，以便潜在 SIEM 供

应商可以建议公司专用部署方案的解决方案。需求定义工作还应该包括初始用例之外的阶段部署。“魔力

象限”会就最常见的技术选择方案，来评估技术提供商：已对 SIEM 项目提供资金支持，以满足威胁监视

/响应和合规性报告需求的组合。

市场概述在去年，对 SIEM 技术的需求仍很强烈。在这段期间，Gartner 从终端用户客户收到的关于资助 SIEM 项

目的查询电话数目，比过去的 12 月期间，增加了 24%，而大部分供应商都报告了在客户和收入方面的

增长。在 2014 年期间，SIEM 市场从 15 亿美元增长到大约 16.9 亿美元，其增长率大约为 14%。在 2014

年开始即起作用的主要驱动因素现在仍有效。威胁管理是主要驱动因素，合规性仍是次要驱动因素。在北

美，需要改进监视和数据泄露检测的小型公司，仍会进行许多新部署。合规性报告仍是一种需求，但

Gartner 客户的讨论重点大部分是安全性。对于保守的大型公司而言，其采用的技术相对落后，仍会有新

部署的机会。这两种客户群非常重视部署和运营支持的简便性。我们不断看到有大型公司对 SIEM 供应商进行了重新评估，以取代与局部、边缘或失败部署相关联的

SIEM 技术。在这段期间，我们不断看到新的和现有的客户，越来越强烈地关注安全驱动的用例。在欧洲

和亚太地区，对 SIEM 技术的需求仍然稳定，其受威胁管理和合规性需求的组合驱动。亚洲和拉丁美洲

的增长率远远高于美国和欧洲。因此，我们对此“魔力象限”中供应商的总体评估包括对供应商销售额的评

估，以及对那些地理位置支持策略的评估。 SIEM 市场是成熟的市场，非常具有竞争性。我们目前处于广泛采用阶段，其中多个供应商可以满足典型

客户的基本日志管理、合规性和事件监视需求。未满足需求的最大领域是有效的目标攻击和数据泄露检测。

组织在早期数据泄露检测方面失败，遭受数据泄露的组织有超过 92% 的数据泄露未被检测出来。使用强

大的威胁情报，可以改善这一状况，威胁情报是行为概要描述和更佳分析的新增功能。当早期采用者使用

有限的部署工作，报告有效检测到目标攻击时，我们监视的却是新兴的实体行为分析（也称为实体行为分

析，有时称为 UBA）市场。我们期望 SIEM 供应商在接下来的 18 月中，增加其对行为分析功能和预定

义内容的支持。大部分公司在三年期间，都扩展了初始 SIEM 部署，以包括更多的事件源，更好地使用

实时监视和调查，以支持事件响应。大型 SIEM 供应商具有显著的现有客户群，且会继续着眼于现有客

户中 SIEM 技术部署的扩展。一般而言，SIEM 供应商会继续在与数据泄露相关的领域中，逐步改进产

品功能（威胁情报、来自网络的异常检测和活动监视），以及调查工作流程和案例管理。

SIEM 供应商格局

有十四位供应商满足 Gartner 2015 SIEM“魔力象限”的入选需求。六位是点解决方案供应商，八位是销售

附加安全或运营产品和服务的供应商。



在 2014 年，SIEM 市场没有值得注意的收购。SIEM 市场仍由相对少数的大型供应商（HP、IBM、Intel

Security 和 Splunk）主导，他们控制超过 60% 的市场收入。LogRhythm 是典型的点解决方案供应商，

仍然做得很好，但是，在其他许多小型供应商身上，压力日益增加。

在过去的 18 个月中，已经有一些额外的市场整合。Symantec 宣布自 2014 年 9 月 2 日起，停止销售

其 SIEM 技术，而自 2017 年 11 月起，停止支持。Tenable Network Security 和 TIBCO Software 不再

将其技术定位在 SIEM 市场上，与其他供应商竞争，而是成为了适合于选择用例和提供 SIEM 附属功能

的供应商。我们保留供应商入选该市场的收入门槛和相对知名度需求。2014 年的收入门槛为每年 1,350

万美元（净新许可收入外加维护收入）。知名度以下列因素计算：是否出现在 Gartner 客户候选名单中、

是否出现在供应商提供的参考客户候选名单中、其他 SIEM 供应商提及其为竞争对手的次数，以及在

gartner.com 上的搜索参考。大量企业现在都部署 IEM 技术。SIEM 供应商越来越关注于涵盖附加用例，以便他们可以继续向其客户

群销售附加功能。一些 SIEM 技术购买决策并未包含竞争力评估，这是因为技术由大型供应商连同相关

安全、网络或运营管理技术一起销售，但是大部分 SIEM 采购都是根据 SIEM 功能本身的特点进行的。

许多 SIEM 供应商持续不断开发销售渠道，在北美已可达中型市场。在拉丁美洲和亚太地区的销售有效

性也是重点。 SIEM 供应商已经对客户关注目标攻击和数据泄露检测作出响应，他们在威胁情报、分析、概要描述和异

常检测，以及网络活动监视（NetFlow 分析和完整包捕获）等领域，开发出越来越多的 SIEM 功能。不

过，我们发现，新兴的用户行为分析点解决方案供应商利用“信噪比”，在早期数据泄露检测领域，提供高

级功能，其要远远优于 SIEM 供应商已经取得的成就。一些供应商（IBM、HP 和 RSA）还在开发或已经部署与其自己大数据技术的集成，而其他的供应商（Intel

Security 和 Splunk）已与第三方技术相集成。具有内部安全研究功能的一些供应商（IBM、HP、Intel

Security、RSA 和 Trustwave）提供与专用威胁情报内容的集成。同时具有 SIEM 和 MSSP 业务的供应

商（HP、IBM、Trustwave 和 EventTracker）正在营销共同管理 SIEM 技术部署，其中包括广泛的监视

服务。RSA 为日志管理和网络包捕获提供通用平台，同时将其 SIEM 与其 IT 监管风险和合规性管理

(GRCM) 技术相集成。Intel Security 的策略是越来越多地关注其自己安全产品组合中的技术集成，并将

SIEM 销售给使用其端点安全产品的大型企业。有一些供应商因特定垂直市场关注点及（或） SIEM 收入

与竞争知名度级别，未入选“魔力象限”：

FairWarning 为医疗保健市场，提供专用数据泄露检测和防护解决方案，这些解决方案在应用程序层

进行用户活动和资源访问监视，且已得到扩展以包括 Salesforce 的安全监视功能。 Lookwise 是 SIEM 供应商，其超出 S21sec 范围，且主要在西班牙和南美洲具有市场影响力。

Lookwise 的优势特征是来自 S21sec 的威胁情报订阅源，其关注的重点是银行业和关键基础结构部

分。Lookwise 不满足更严格的收入和知名度门槛。 Tripwire 的 Log Center 关注的是扩增 Tripwire 功能，以提供更好的系统状态情报。 Tango/04 为欧洲和南美洲客户，提供运营事件关联、业务流程监视和 SIEM 解决方案。该供应商不

再满足我们更严格的收入和知名度门槛。

Huntsman Security（Tier3 的一部分）是 SIEM 供应商，主要在英国和澳大利亚具有影响力。其技术的

优势特征是概要描述和异常检测功能。该供应商不满足我们更严格的收入和知名度门槛。有一些供应商销售基于许可 SIEM 技术的解决方案。IBM 将其技术授权给一些供应商，他们在自己的设

备上实现其技术，并增加与其各自管理基础结构的特定集成。

客户需求 — 系统、用户、数据和应用程序

在去年，部署 SIEM 技术的 Gartner 客户继续主要关注安全用例，即使设备持续成为重要的驱动因素也

是如此。主要关注点仍是目标攻击和数据泄露检测。安全组织经常想要利用 SIEM 来改进外部和内部威

胁发现与事件管理的功能（请参见 “将 SIEM 用于目标攻击检测”）。因此，对于主机系统和应用程序，

需要用户活动和资源访问监视（请参见“有效的安全监视需要背景信息”）。在今年的 SIEM 供应商“魔力

象限”评估中，我们继续在有助于目标攻击检测的功能上增加权重，其中包括对用户活动监视、应用程序

活动监视、概要描述和异常检测、威胁情报和有效分析的支持。来自北美和欧洲客户的需求有所增长，而亚太地区 SIEM 查询的数目仍稳定在总 SIEM 查询活动的一定

百分比上。具有有限安全计划的公司持续采用 SIEM 技术，形成了对产品的需求，这些产品提供预定义

安全监视和合规性报告功能，易于部署和支持。

SIEM 解决方案应该：支持结合威胁、用户、资产和数据的背景信息，实时收集和分析来自主机系统、安全设备和网络设备

的事件。提供长期事件和背景数据存储和分析。提供预定义功能，稍加自定义即可满足公司特定需求。

尽可能轻松地部署和维护。



可伸缩性可伸缩性是 SIEM 部署的一个主要考虑方面。要让 SIEM 技术满足给定部署的需求，它必须能够收集、

处理、存储和分析所有安全相关事件。需要实时监视的事件必须实时收集和处理。事件处理包括解析、

过滤、聚集、关联、警报、显示、索引和写入后端存储库。可伸缩性还包括利用查询响应时间，访问数据，

以进行分析和报告（即使在高峰事件期间），这些时间不妨碍使用反复的方法来进行事件调查。尽管事件

存储库会随时间增长，但查询性能仍需要提高。我们基于三个主要因素，说明部署大小的特征：

事件源的数目每秒持续的事件数（过滤之后收集，如果有的话）事件后端存储库的大小

我们假设由服务器支配的混合事件源，但也包括防火墙、入侵检测传感器和网络设备。一些部署还包括大

量 PC 端点，但是，这并不常见，PC 端点计数并未包含在总数中。小型、中型和大型部署的界限不是绝

对的，这是因为有些部署可能具有大量相对安静的事件源，而其他则具有较少但非常繁忙的事件源。例如，

具有数个繁忙日志源的部署可能会超出下面针对小型部署设置的 EPS 限制，但在体系结构上仍属于小型

部署。 Gartner 将小型部署定义为具有 300 个或更少的事件源，持续 EPS 率为每秒 1,500 个事件或更少，且

后端存储库大小为 800GB 或更小。Gartner 将中型部署定义为具有 400 到 800 个事件源，持续事件

率为每秒 2,000 到 7,000 个事件，且后端存储库为 4TB 到 8TB。大型部署定义为具有超过 900 个事

件源，持续事件率为每秒超过 15,000 个事件，且后端存储库为 10TB 或更大。一些巨大型部署可能具

有成千上万个事件源，持续事件率为超过 25,000 EPS，且后端存储库超过 50TB。我们可能会指出供应

商的 SIEM 技术非常适合于小型、中型或大型部署，这表示大小为该供应商的一般或最常见成功部署。

每一个供应商都具有界外值。

SIEM 服务

Gartner 客户越来越多地指出他们正在寻求其 SIEM 部署的外部服务支持，或者正计划与 SIEM 产品一

起，获得该支持。外部服务的驱动因素包括缺乏管理 SIEM 部署的内部资源、缺乏有效监视警报或这样

执行 24/7 的资源，或者缺乏可扩展部署以包括新用例（如用户活动监视）的专家。我们预期 SIEM 用

户对此类服务的需求会有所增长，因为更多的客户采用 24/7 监视，并实现需要更深层 SIEM 运营和分析

专家的用例。 SIEM 供应商可能利用受管服务、利用员工扩充或外包服务，或者通过合作伙伴，来支持这些需求。受管

安全服务提供商对 SIEM 用户而言，是另一个选择。这些提供商提供事件的实时监视和分析，并收集日

志以用于报告和调查。托管 SIEM 或 SIEM 即服务产品（如 Splunk Cloud 和 Alert Logic，以及 Sumo

Logic 的日志服务）的数目日益增加，以支持客户选择放弃 SIEM 技术管理，但可以使用内部资源，来进

行监视和调查。客户对事件收集和存储、警报、调查和报告的特定需求可能会证明外部服务提供商存在问

题，而发现服务的 SIEM 用户应该评估该服务提供商是否适合，能够满足当前和计划的用例。

© 2015 Gartner, Inc. and/or its affiliates.All rights reserved.Gartner 是 Gartner, Inc. 或其子公司的注册商标。在未事先获得 Gartner 书面许可的情况下，不得以任何形

式复制或分发本出版物。如果您已获授权访问本出版物，那么您的使用受 gartner.com 上发布的 Usage Guidelines for Gartner Services 限制。本出版物中所包含的

信息均取自可靠的来源。Gartner 拒绝承认与本信息准确性、完整性或充分性有关的一切保证，对本信息中的错误、遗漏或不足不承担任何责任。本出版物包含 Gartner

研究组织的观点，不得解释为事实陈述。这里表述的观点如有变更，恕不另行通知。虽然 Gartner 研究报告可能包括相关法律问题的讨论，但是 Gartner 不提供法

律建议或服务，也不得据此解释或使用该研究报告。Gartner 是一家上市公司，其股东可能拥有对 Gartner 研究报告中所涉及实体有财务利益的公司和资金。Gartner

的董事会成员中可能包括这些公司或资金的资深管理者。Gartner 研究报告由其调研组织独立产生，不会受这些公司、基金或其管理者的授意或影响。有关 Gartner 研

究报告独立性和完整性的进一步信息，请参见“Guiding Principles on Independence and Objectivity”。

关于 Gartner | 职业生涯 | 新闻编辑室 | 策略 | 网站索引 | IT 词汇表 | 联系 Gartner


魔力象限之安全信息和事件管理 - bitpipe

Documents