隨著云技術(shù)的普及、AI的崛起以及安全工具的深度融合，安全信息和事件管理(SIEM)系統(tǒng)正經(jīng)歷著前所未有的變革。這一變革不僅改變了SIEM的基本功能，還推動了其在企業(yè)安全運(yùn)營中的核心地位。

SIEM平臺已經(jīng)遠(yuǎn)遠(yuǎn)超越了其基本的日志收集和關(guān)聯(lián)功能。

由于網(wǎng)絡(luò)威脅發(fā)展太快，無法手動干預(yù)，領(lǐng)先供應(yīng)商已將AI和機(jī)器學(xué)習(xí)技術(shù)集成到其SIEM平臺中。

此外，現(xiàn)代SIEM平臺現(xiàn)在還融入了擴(kuò)展檢測與響應(yīng)(XDR)和安全編排、自動化與響應(yīng)(SOAR)，實(shí)現(xiàn)了實(shí)時(shí)威脅檢測和自動修復(fù)。

SIEM已成為監(jiān)控日志數(shù)據(jù)以發(fā)現(xiàn)異常和可疑事件的平臺，然后在基于異常行為和檢測規(guī)則觸發(fā)警報(bào)。

據(jù)分析機(jī)構(gòu)IDC稱，“SIEM通常作為安全分析師的工作空間，用于調(diào)查與其他上下文(如資產(chǎn)信息、漏洞和威脅情報(bào))相關(guān)聯(lián)的警報(bào)事件。IDC預(yù)計(jì)，未來SIEM還將成為安全運(yùn)營中心(SOC)的響應(yīng)中心，通過劇本自動處理許多事件?！?/p>

隨著企業(yè)云使用量持續(xù)增加，谷歌的云網(wǎng)絡(luò)安全預(yù)測顯示，SIEM產(chǎn)品將成為企業(yè)SOC(安全運(yùn)營中心)的核心，攝入“從云日志到端點(diǎn)遙測的一切數(shù)據(jù)”。

市場情報(bào)公司Context的全球研究和業(yè)務(wù)發(fā)展總監(jiān)喬·特納指出，更大的攻擊面和更復(fù)雜的攻擊正促使企業(yè)結(jié)合其他技術(shù)(包括XDR和SOAR)投資SIEM，作為關(guān)聯(lián)、檢測和修復(fù)威脅的平臺。因此，該公司報(bào)告稱，2024年SIEM市場增長了20%。

SIEM、XDR和SOAR的融合

SIEM與安全工具(如XDR和SOAR)的融合是推動市場增長的主要因素。

SIEM提供日志分析和廣泛可見性，XDR擴(kuò)展了跨端點(diǎn)和云的檢測能力，而SOAR則編排響應(yīng)。

當(dāng)SIEM檢測到安全事件時(shí)，SOAR會通過XDR觸發(fā)自動響應(yīng)操作——實(shí)時(shí)隔離受感染的端點(diǎn)、禁用受感染的用戶帳戶或阻止惡意流量。

通過將SIEM與XDR和SOAR融合，組織可以獲得一個統(tǒng)一的安全平臺，該平臺能整合數(shù)據(jù)、降低復(fù)雜性并提高響應(yīng)時(shí)間，因?yàn)橄到y(tǒng)可以配置為自動遏制威脅，無需任何手動干預(yù)。

2024年，Context記錄到SIEM和XDR技術(shù)組合銷售的增長率高達(dá)580%(或增長超過六倍)。據(jù)這家市場情報(bào)機(jī)構(gòu)稱，去年與SOAR和SIEM綁定在一起銷售的服務(wù)也增加了22%，增幅雖小但仍具有重要意義。

“SIEM++這一術(shù)語被用來指代SIEM的下一步發(fā)展，它旨在滿足安全運(yùn)營中對自動化、AI和實(shí)時(shí)響應(yīng)的當(dāng)前需求。因此，SIEM與其他工具的組合使用有所增加?！盋ontext的特納說道。

英國托管服務(wù)提供商Emerging T-Tech的總監(jiān)喬治·麥肯納告訴記者，SIEM與XDR和SOAR的融合使企業(yè)能夠簡化運(yùn)營、提高檢測效率并縮短平均解決時(shí)間。

“傳統(tǒng)SIEM在日志聚合和關(guān)聯(lián)方面雖然有效，但缺乏在當(dāng)今威脅環(huán)境中必要的細(xì)粒度可見性和自動響應(yīng)能力，”麥肯納解釋道?！癤DR通過集成端點(diǎn)、網(wǎng)絡(luò)和云遙測，提供了潛在威脅的全面視圖，從而彌補(bǔ)了這一空白?！?/p>

麥肯納補(bǔ)充道：“然后，SOAR使事件響應(yīng)工作流程實(shí)現(xiàn)自動化，加速了緩解和修復(fù)過程?！?/p>

基于云的SIEM興起

隨著組織尋求更具可擴(kuò)展性和成本效益的平臺，向基于云的SIEM的轉(zhuǎn)變正在加速。

“云原生SIEM減少了運(yùn)營開銷，并實(shí)現(xiàn)了安全、DevOps和平臺團(tuán)隊(duì)之間更快的調(diào)查和協(xié)作——這對于現(xiàn)代安全運(yùn)營至關(guān)重要，”云和安全監(jiān)控公司Datadog的云SIEM高級產(chǎn)品營銷經(jīng)理維拉·陳說道。

基于云的SIEM解決方案是即插即用的安全平臺，因此企業(yè)可以訂閱、通過API集成資產(chǎn)、使用SOAR自動化響應(yīng)，并設(shè)置定制的檢測規(guī)則。

“現(xiàn)代基于云的SIEM超越了日志管理，”通訊和網(wǎng)絡(luò)安全提供商Exponential-e的網(wǎng)絡(luò)解決方案顧問穆罕默德·阿里告訴記者?！八且粋€智能安全中心，內(nèi)置SOAR功能，與基于云的XDR/EDR解決方案實(shí)現(xiàn)無縫API集成，并提供實(shí)時(shí)全球威脅情報(bào)?！?/p>

阿里補(bǔ)充道：“這意味著更敏銳的檢測能力和對高級網(wǎng)絡(luò)威脅更快、自動化的響應(yīng)?！?/p>

基于云的SIEM消除了與傳統(tǒng)本地部署相關(guān)的昂貴硬件升級需求，提供了可擴(kuò)展性和更快的響應(yīng)時(shí)間，以及可能更具成本效益的按使用量付費(fèi)定價(jià)模型。

“鑒于每天出現(xiàn)的大量新威脅，當(dāng)前的SIEM無法有效應(yīng)對不遵循現(xiàn)有模式的新興和復(fù)雜攻擊，”Palo Alto Networks英國和愛爾蘭地區(qū)的首席安全官斯科特·麥金農(nóng)說道。“下一代SIEM使用AI和機(jī)器學(xué)習(xí)來減少誤報(bào)、幫助預(yù)測安全漏洞，并實(shí)現(xiàn)自動化威脅響應(yīng)?！?/p>

據(jù)Context稱，2024年本地SIEM的成本上漲了116%，平均每個座位達(dá)到93美元。相比之下，去年基于云的SIEM成本下降了26%，至每個座位77美元。

“現(xiàn)在，云SIEM的初期成本已低于本地部署，且部署速度更快，”Context的特納解釋道?！斑@對于希望在有限預(yù)算下保護(hù)自己的中小型企業(yè)來說非常具有吸引力?！?/p>

然而，特納建議，由于云的高數(shù)據(jù)攝入成本，處理大量信息的大型企業(yè)可能繼續(xù)更適合采用本地或混合SIEM部署。

Context報(bào)告稱，2024年基于云的SIEM收入同比增長了60%。通過托管服務(wù)提供商(MSP)提供的基于SIEM的服務(wù)增長了六倍多，同期增長了550%。

“SIEM(或SIEMaaS)在MSP中的增長是由于一個非?，F(xiàn)實(shí)的限制：許多企業(yè)由于預(yù)算限制無法聘請或留住內(nèi)部安全團(tuán)隊(duì)，”Context的特納說道。“這意味著投資于托管服務(wù)更具成本效益，并且無需理解和處理SIEM的復(fù)雜性?！?/p>

AI重塑SIEM格局

基于靜態(tài)規(guī)則的SIEM難以跟上當(dāng)今復(fù)雜的網(wǎng)絡(luò)威脅，因此，AI驅(qū)動的SIEM平臺使用實(shí)時(shí)機(jī)器學(xué)習(xí)(ML)來分析大量安全數(shù)據(jù)，提高了其識別異常和傳統(tǒng)技術(shù)可能遺漏的未見過的攻擊技術(shù)的能力。

ML模型為用戶、資產(chǎn)和網(wǎng)絡(luò)流量建立基線行為，持續(xù)監(jiān)控偏差以指示潛在威脅。當(dāng)檢測到異常時(shí)，訓(xùn)練好的模型會生成警報(bào)，從而實(shí)現(xiàn)更快的威脅檢測和響應(yīng)。

“AI驅(qū)動的SIEM解決方案不僅檢測威脅，還自動化調(diào)查過程，將實(shí)時(shí)事件與全球威脅情報(bào)相關(guān)聯(lián)，”Exponential-e的阿里說道?！巴ㄟ^與SOAR和XDR/EDR平臺集成，可以觸發(fā)自動響應(yīng)或?qū)⑹录壗o安全分析師以采取進(jìn)一步行動?！?/p>

阿里補(bǔ)充道：“這顯著提高了事件響應(yīng)效率，并支持了一個更高效、敏捷的安全運(yùn)營中心，該中心始終領(lǐng)先攻擊者一步?！?/p>

AI驅(qū)動的SIEM可以優(yōu)先處理關(guān)鍵警報(bào)、建議響應(yīng)操作并自動化修復(fù)，從而減少噪音和疲勞。

“隨著對手利用AI，安全團(tuán)隊(duì)必須采用AI驅(qū)動的自動化來保持領(lǐng)先?！盌atadog的陳說道。

行業(yè)整合

隨著供應(yīng)商尋求開發(fā)更全面、更強(qiáng)大的平臺，SIEM市場正在經(jīng)歷快速整合。

“組織要求更少的工具、更深入的集成和無縫的端到端安全運(yùn)營——能夠滿足這些需求的供應(yīng)商將塑造網(wǎng)絡(luò)安全的未來?！盌atadog的陳說道。

過去幾年顯著的SIEM并購活動包括：

? 2024年9月，Palo Alto Networks以5億美元收購IBM的QRadar SaaS業(yè)務(wù)

? 2024年7月，Exabeam與LogRhythm合并

? 2024年3月，Cisco以約280億美元收購Splunk

? 2022年，谷歌收購SOAR公司Siemplify，以集成到Google Chronicle SIEM中

? 2021年，IBM收購專注于AI驅(qū)動檢測的Reaqta，以增強(qiáng)QRadar在XDR市場的能力

“我們看到銷售獨(dú)立SIEM產(chǎn)品的供應(yīng)商越來越少，而捆綁套件的數(shù)量有所增加?！盋ontext的特納說道。

“傳統(tǒng)SIEM供應(yīng)商正在收購云原生安全公司，以幫助客戶推動從本地到云解決方案的過渡，云解決方案具有更具競爭力的定價(jià)模型?！彼a(bǔ)充道。