根據(jù)Gartner的研究數(shù)據(jù)，全球SIEM產(chǎn)品市場將持續(xù)保持20%以上的年增長率，主要驅(qū)動(dòng)因素仍然是威脅檢測、實(shí)踐響應(yīng)、攻擊面管理以及合規(guī)要求。為了更好地滿足這些應(yīng)用需求，新一代SIEM產(chǎn)品需要不斷吸納新的功能，包括SOAR、UEBA、TIP以及持續(xù)威脅內(nèi)容創(chuàng)建等。這使得SIEM產(chǎn)品的架構(gòu)策略需要不斷優(yōu)化演變，而最終指向就是云化Cloud SIEM（包括云原生化和云托管）。

圖：新一代的云化SIEM解決方案

云技術(shù)不僅可以讓SIEM產(chǎn)品整合更多威脅檢測引擎，實(shí)現(xiàn)更快的安全數(shù)據(jù)分析，還可以有效降低企業(yè)的應(yīng)用成本。Gartner研究認(rèn)為，Cloud SIEM會(huì)成為未來SIEM產(chǎn)品發(fā)展的主流形態(tài)。在2023年，90%的SIEM解決方案將會(huì)提供可在云端交付的功能（比如日志存儲(chǔ)、數(shù)據(jù)分析和事件管理等），而在2020年這個(gè)比例不足20%。

新一代云SIEM解決方案需要使用眾多分析技術(shù)（包括關(guān)聯(lián)、統(tǒng)計(jì)偏差和機(jī)器學(xué)習(xí)），以識別威脅及其他關(guān)注的事件，它們應(yīng)該幫助企業(yè)根據(jù)監(jiān)控目標(biāo)，匹配合適的分析方法，將原始警報(bào)數(shù)據(jù)轉(zhuǎn)換成真正有用的威脅情報(bào)。

Gartner產(chǎn)品管理副總裁Colin Reid認(rèn)為，當(dāng)企業(yè)開始選型評估新一代云SIEM解決方案時(shí)，安全團(tuán)隊(duì)?wèi)?yīng)該明確并優(yōu)先考慮一些關(guān)鍵標(biāo)準(zhǔn)，甄別不同云SIEM方案的可用性和適用性，以確保SIEM方案切實(shí)可以滿足企業(yè)的業(yè)務(wù)場景需求。

1、數(shù)據(jù)分析能力

在新一代云SIEM方案中，應(yīng)該具有實(shí)時(shí)數(shù)據(jù)分析的能力，以最快速度檢測企業(yè)可能存在的威脅、合規(guī)問題或企業(yè)關(guān)注的特點(diǎn)事件活動(dòng)，并確定這些信息的優(yōu)先級。同時(shí)，新一代SIEM方案還應(yīng)提供批量數(shù)據(jù)分析功能，以識別和關(guān)聯(lián)未實(shí)時(shí)檢測到的數(shù)據(jù)弱信號。

2、智能管理功能

新一代SIEM解決方案應(yīng)該提供更加完善的管理、維護(hù)和配置工具，以支持安全團(tuán)隊(duì)更加復(fù)雜的安全運(yùn)營需求，比如日志及數(shù)據(jù)源管理、分析檢測內(nèi)容、事件報(bào)告、用戶角色管理、訪問控制以及事件響應(yīng)工作流等。在內(nèi)容管理方面，SIEM方案應(yīng)該提供數(shù)據(jù)收集器、解析器、分析規(guī)則及模型、合規(guī)包等，安全管理員可以借助內(nèi)置的管理框架來啟用、訪問和更新這些內(nèi)容。

3、易用性

安全團(tuán)隊(duì)?wèi)?yīng)確保云SIEM解決方案提供易于理解和對用戶友好的界面，才能實(shí)現(xiàn)更好的用戶互動(dòng)，特別當(dāng)使用者不是傳統(tǒng)IT或安全團(tuán)隊(duì)成員的情況下更應(yīng)如此。企業(yè)要為SIEM定義與安全監(jiān)控目標(biāo)一致的策略用例，并將這些用例作為SIEM方案設(shè)計(jì)的指導(dǎo)需求，這樣有助于SIEM方案的使用性能提升和資源利用。

4、數(shù)據(jù)存儲(chǔ)

從技術(shù)需求的角度來看，有必要確保云SIEM解決方案可提供足夠的數(shù)據(jù)存儲(chǔ)容量，以及所需的文件類型、位置和流程說明?；谠频腟IEM解決方案要提供可靈活按需擴(kuò)展的數(shù)據(jù)存儲(chǔ)容量，這在應(yīng)對不斷變化的安全威脅環(huán)境時(shí)至關(guān)重要。

5、應(yīng)用整合

云SIEM工具需要與企業(yè)中的其它安全檢測和防護(hù)系統(tǒng)緊密合理地整合。將云SIEM工具與各種相關(guān)的應(yīng)用程序、數(shù)據(jù)源和設(shè)備整合起來是一項(xiàng)基礎(chǔ)性要求，但真正實(shí)現(xiàn)起來并不容易。SIEM威脅檢測性能不僅取決于SIEM產(chǎn)品本身及其配置，還取決于整套檢測系統(tǒng)是否能夠有效協(xié)同，以及所有安全監(jiān)測數(shù)據(jù)是否完整、充分。

6、日志和監(jiān)控

企業(yè)應(yīng)確保云SIEM解決方案可以為組織所有IT環(huán)境（包括云服務(wù)、虛擬設(shè)備及內(nèi)部網(wǎng)絡(luò)環(huán)境）中的系統(tǒng)運(yùn)行狀況進(jìn)行收集監(jiān)控并對異常行為發(fā)出警報(bào)。它還應(yīng)該提供日志和解析功能，實(shí)現(xiàn)對所有問題的整體分析和報(bào)告。

參考鏈接：

??https://www.gartner.com/en/articles/searching-for-a-siem-solution-here-are-7-things-it-likely-needs。??