概述

2010年5月13日，一年一度的Gartner安全信息和事件管理（SIEM）幻方圖（魔幻象限/MQ）發(fā)布了。根據(jù)這份2010年的SIEM MQ顯示，SIEM市場(chǎng)已經(jīng)成熟，競(jìng)爭(zhēng)越發(fā)激烈，并向中小企業(yè)市場(chǎng)滲透。同時(shí)，SIEM市場(chǎng)出現(xiàn)了明顯的分化，有的新崛起的廠(chǎng)商勢(shì)頭強(qiáng)勁，而另一些廠(chǎng)商則反應(yīng)遲緩，有的甚至出現(xiàn)了業(yè)務(wù)萎縮。此外，SIEM產(chǎn)品的表現(xiàn)形式也也越發(fā)多樣性，有的依然是純正的SIEM，有的則與其他產(chǎn)品進(jìn)行整合（例如與IAM整合，與GRC整合）。

整體市場(chǎng)發(fā)展?fàn)顩r

Gartner的報(bào)告指出，2009年的SIEM市場(chǎng)增長(zhǎng)依然強(qiáng)勁，與 2008年相比，多出35%的客戶(hù)計(jì)劃上馬SIEM項(xiàng)目。業(yè)界大部分廠(chǎng)商都宣稱(chēng)業(yè)績(jī)大幅增長(zhǎng)。與2008年相比，SIEM的總營(yíng)收增長(zhǎng)只有15%，達(dá)到 11.5億美元，這更加說(shuō)明了SIEM產(chǎn)品正在向中小企業(yè)市場(chǎng)滲透，當(dāng)然企業(yè)的預(yù)算投入也更趨理性。

與2008年一樣，2009年的SIEM市場(chǎng)驅(qū)動(dòng)力依然還是合規(guī)與安全標(biāo)準(zhǔn)，尤其是北美市場(chǎng)。亞歐市場(chǎng)的SIEM驅(qū)動(dòng)力主要還是用于實(shí)時(shí)威脅監(jiān)測(cè)和應(yīng)急事件響應(yīng)。

與2009年的SIEM MQ一樣，Gartner將Log Management（LM/日志管理）納入了SIM的范疇。

這次，Gartner對(duì)SIM和SEM有了更為簡(jiǎn)潔的描述：

Security information management (SIM) — log management and compliance reporting

Security event management (SEM) — real-time monitoring and incident management

當(dāng)然，Gartner依然有更為精準(zhǔn)的SIM/SEM定義，與去年的定義一模一樣。

Gartner認(rèn)為，一個(gè)優(yōu)秀的SIEM方案應(yīng)該具備以下特征（2009年也是這么說(shuō)的）：

1）支持從主機(jī)、網(wǎng)絡(luò)設(shè)備以及安全設(shè)備上實(shí)時(shí)地收集和分析日志；#p#

2）支持長(zhǎng)期日志存儲(chǔ)和歷史報(bào)表分析；

3）不必進(jìn)行大量的定制開(kāi)發(fā)（即產(chǎn)品化程度高）；

4）易于部署和維護(hù)；

廠(chǎng)商分析

根據(jù)Gartner設(shè)定的門(mén)檻，一共有20個(gè)廠(chǎng)商進(jìn)入了MQ。先說(shuō)說(shuō)沒(méi)有入圍的幾個(gè)廠(chǎng)商：

1）思科MARS，由于眾所周知的原因，思科停止了MARS產(chǎn)品對(duì)非思科產(chǎn)品線(xiàn)的日志支持，Gartner不再對(duì)其進(jìn)行分析；

2）Splunk，這是Gartner連續(xù)兩年將其拒絕。理由還是那條：Splunk沒(méi)有實(shí)時(shí)日志分析功能，不符合Gartner對(duì)SIEM的定義（SEM用例）；

3）AlienVault，我個(gè)人認(rèn)為值得關(guān)注，因?yàn)樗麚碛蠴pen Source的OSSIM，不過(guò)由于營(yíng)收肯定不合Gartner的標(biāo)準(zhǔn)，無(wú)法入圍。

4）HP的 Compliance Log Warehouse (CLW) ，雖然是大鱷，不過(guò)產(chǎn)品都是OEM自SenSage的，自然不能入圍。

5）Q1Labs 入圍了，他也賣(mài)自己的軟件，但是重點(diǎn)走OEM的路線(xiàn)，給別人的盒子做嫁衣。Enterasys、Juniper都是他的客戶(hù)。這些公司都OEM了 Q1Labs的產(chǎn)品，包括Enterasys 的SIEM / Dragon Security Command Console，Juniper的Networks Security Threat Response Manager。所以這些廠(chǎng)家自然不能入圍啦，各位可要認(rèn)準(zhǔn)啦。

6）有的廠(chǎng)家被收購(gòu)了，自然無(wú)法再入圍了。例如Intelitectics。

再看看上MQ的廠(chǎng)商：

如果你對(duì)比一下 2010年的和2009年的MQ，會(huì)有很多有趣的發(fā)現(xiàn)。

1）Arcsight一枝獨(dú)秀。我認(rèn)為這更多地歸功于他的市場(chǎng)成功；

2）RSA的原地踏步。enVision能有這樣的表現(xiàn)已不容易，看看其他的廠(chǎng)家的困境就知道了。另外，enVision能夠維持領(lǐng)先的原因可能還包括EMC的超長(zhǎng)產(chǎn)品線(xiàn)，包括enVision與 DLP方案的整合，以及最近新購(gòu)買(mǎi)的Archer公司的GRC產(chǎn)品的整合。

3）Q1Labs略有退步，勉強(qiáng)維持領(lǐng)先。最近以來(lái)沒(méi)啥新技術(shù)，新東東出來(lái)。不過(guò)比起其他退步的廠(chǎng)商而言，依然能夠維持領(lǐng)先已不容易了。

4）NitroSecurity進(jìn)步不小。一方面源于其2009年發(fā)布了不少新品，同時(shí)因?yàn)樗漠a(chǎn)品線(xiàn)布局清晰，并且更加合理。我認(rèn)為很重要的一點(diǎn)就是引入了DAM。呵呵，跟我們的思路比較一致。值得一提的是，持同樣理念的LogLogic今年卻退步了，主要不是因?yàn)槔砟畹膯?wèn)題，而是理念的落地上遇到的困難，與2008相比有退步。

5）一堆廠(chǎng)商在MQ的中間扎推，包括一堆大廠(chǎng)和一堆老廠(chǎng)。這些基本都屬于Gartner稱(chēng)的發(fā)展遲緩、甚至萎縮的類(lèi)型，包括IBM、CA和NetIQ為代表的廠(chǎng)商退步。尤其是IBM，退步明顯。對(duì)于IBM，我感覺(jué)主要問(wèn)題是他收購(gòu)了一堆SIEM廠(chǎng)商后，整合乏力（自找的），名字起得倒是挺好聽(tīng)的，不過(guò)產(chǎn)品之間的關(guān)系說(shuō)不清楚，架構(gòu)也不一致，有點(diǎn)亂。不過(guò)，大廠(chǎng)有大廠(chǎng)的玩法——方案及產(chǎn)品整合。IBM和CA將SIEM與IAM整合到一起（Novell也這么做），NetIQ則將SIEM與配置管理和文件完整性整合到一起（類(lèi)似Tripwire的做法）。

6）陪綁的，還是那幾個(gè)廠(chǎng)商，要么在左邊中間，要么位于左下角。對(duì)于他們而言，能上榜就是成功。

總的來(lái)說(shuō)，進(jìn)步的不多，退步的不少，原地踏步的一大把。此外，我個(gè)人覺(jué)得（沒(méi)有數(shù)據(jù)支撐），上榜的公司占SIEM市場(chǎng)總營(yíng)收的比重應(yīng)該有減少，因?yàn)橛泻芏嘈屡d的區(qū)域的SIEM廠(chǎng)家涌現(xiàn)，歐洲、拉美、中國(guó)，亞洲，都有不少。此外，更多中小型企業(yè)和組織買(mǎi)入SIEM也使得這種市場(chǎng)分布更加廣泛，因而銷(xiāo)售額更加分散。

哪里獲取這份報(bào)告？

現(xiàn)在的SIEM MQ價(jià)值越來(lái)越不如以前讓人覺(jué)得珍貴了，可能是這個(gè)市場(chǎng)成熟了，也可能是Gartner的人自己也疲憊了。大部分上榜的廠(chǎng)家的官方網(wǎng)站都有下載鏈接，只要簡(jiǎn)單的做個(gè)注冊(cè)即可。