安全信息和事件管理(SIEM)平臺(tái)的價(jià)值已經(jīng)遠(yuǎn)遠(yuǎn)超越了基本的日志收集和關(guān)聯(lián)根源，云的采用、多種工具的集成和人工智能技術(shù)正在推動(dòng)SIEM系統(tǒng)迎來重大變革，使其成為一個(gè)監(jiān)控日志數(shù)據(jù)以發(fā)現(xiàn)異常和可疑事件的平臺(tái)，并根據(jù)異常行為和檢測(cè)規(guī)則觸發(fā)警報(bào)。現(xiàn)代SIEM平臺(tái)現(xiàn)在包含了擴(kuò)展檢測(cè)和響應(yīng)(XDR)以及安全編排、自動(dòng)化和響應(yīng)(SOAR)，實(shí)現(xiàn)了實(shí)時(shí)威脅檢測(cè)和自動(dòng)化補(bǔ)救。

IDC預(yù)計(jì)，未來SIEM將成為SOC的響應(yīng)中心，通過行動(dòng)手冊(cè)自動(dòng)處理許多事件。谷歌預(yù)測(cè)，隨著企業(yè)云采用的不斷增加， SIEM將成為企業(yè)SOC(安全運(yùn)營(yíng)中心)的核心，收集和分析來自云環(huán)境和終端設(shè)備的所有安全相關(guān)數(shù)據(jù)。

安全牛綜合分析認(rèn)為，SIEM、XDR和SOAR的融合，云端SIEM的興起，人工智能與自動(dòng)化的發(fā)展，以及市場(chǎng)的整合與并購(gòu)將重塑2025年的SIEM市場(chǎng)。

SIEM、XDR和SOAR的融合

市場(chǎng)情報(bào)公司Context的全球研究和業(yè)務(wù)發(fā)展總監(jiān)Joe Turner認(rèn)為，更大的攻擊面和更復(fù)雜的攻擊正促使企業(yè)將SIEM與其他技術(shù)(包括XDR和SOAR)相結(jié)合，作為關(guān)聯(lián)、檢測(cè)和補(bǔ)救威脅的平臺(tái)進(jìn)行投資。

SIEM 、XDR 和SOAR 的融合代表了網(wǎng)絡(luò)安全的一次重大演進(jìn)。將不同功能整合到統(tǒng)一平臺(tái)可以簡(jiǎn)化安全運(yùn)營(yíng)，為安全團(tuán)隊(duì)提供了一個(gè)單一控制臺(tái)來監(jiān)控、分析和響應(yīng)威脅，減少了在多個(gè)工具之間切換的復(fù)雜性，提高了可用性和效率。

安全牛認(rèn)為，這種融合主要帶來三方面的價(jià)值：

融合帶來增強(qiáng)的威脅檢測(cè)和響應(yīng)：SIEM帶來了全面的日志分析和合規(guī)性能力；XDR利用人工智能和自動(dòng)化，在終端、網(wǎng)絡(luò)和云環(huán)境中提供高級(jí)威脅檢測(cè)；SOAR自動(dòng)化響應(yīng)工作流程，減少了人工干預(yù)，加快了事件解決速度。

融合將減少警報(bào)疲勞：通過將 SIEM 的日志分析與 XDR 的高級(jí)威脅檢測(cè)和 SOAR 的自動(dòng)化相結(jié)合，系統(tǒng)可以更有效地對(duì)警報(bào)進(jìn)行優(yōu)先級(jí)排序，使分析師專注于關(guān)鍵威脅。

融合將改善資源管理：融合有助于通過自動(dòng)化日常任務(wù)，并提供可操作的洞見來優(yōu)化資源分配，這對(duì)于資源有限的小團(tuán)隊(duì)尤為有利。

通過將 SIEM 與XDR 和SOAR 融合，組織獲得了一個(gè)數(shù)據(jù)集成、功能統(tǒng)一的安全平臺(tái)，不僅可以減少多系統(tǒng)運(yùn)維的復(fù)雜性，更能實(shí)現(xiàn)自動(dòng)化的威脅檢測(cè)和響應(yīng)，大幅提高事件處理效率，無(wú)需人工干預(yù)即可快速遏制威脅。當(dāng)SIEM檢測(cè)到安全事件時(shí)，SOAR通過XDR觸發(fā)自動(dòng)響應(yīng)操作——隔離受損終端、禁用受損用戶賬戶或?qū)崟r(shí)阻止惡意流量。

英國(guó)管理服務(wù)提供商Emerging T-Tech董事George McKenna表示，SIEM與XDR和SOAR的融合使企業(yè)能夠簡(jiǎn)化運(yùn)營(yíng)、提高檢測(cè)效率，并縮短問題處理時(shí)間。這是因?yàn)閭鹘y(tǒng)的SIEM雖然有效地進(jìn)行日志聚合和關(guān)聯(lián)，但缺乏當(dāng)今威脅環(huán)境所需的細(xì)粒度可見性和自動(dòng)化響應(yīng)能力。XDR通過融合終端、網(wǎng)絡(luò)和云環(huán)境的安全遙測(cè)數(shù)據(jù)來彌補(bǔ)這一差距，提供了對(duì)潛在威脅的整體視圖；SOAR實(shí)現(xiàn)了事件響應(yīng)工作流程的自動(dòng)化，加快了緩解和補(bǔ)救。

安全牛分析認(rèn)為，隨著網(wǎng)絡(luò)安全威脅的不斷演變，SIEM、XDR 和SOAR 的融合可能會(huì)變得更加普遍，為組織提供一種強(qiáng)大的防御機(jī)制來抵御復(fù)雜的攻擊。這種集成將繼續(xù)完善安全運(yùn)營(yíng)，使其更加高效，并能夠響應(yīng)新出現(xiàn)的威脅。

云端SIEM的興起

隨著組織尋求更可擴(kuò)展、更經(jīng)濟(jì)高效的平臺(tái)，向云端SIEM的轉(zhuǎn)移正在加速。云端SIEM解決方案的興起正在通過提供可擴(kuò)展、經(jīng)濟(jì)高效和先進(jìn)的安全分析能力來改變網(wǎng)絡(luò)安全：

可擴(kuò)展性和成本效益：與傳統(tǒng)的本地解決方案相比，云端SIEM可以更容易擴(kuò)展，允許組織在無(wú)需大規(guī)模硬件升級(jí)的情況下處理大量安全數(shù)據(jù)；云端SIEM每個(gè)席位的成本通常更低，因此對(duì)中小型企業(yè)(SMB)更具吸引力。根據(jù)Context的數(shù)據(jù)，2024年本地SIEM的成本上漲了116%，平均每個(gè)席位93美元。相比之下，去年云端SIEM的成本下降了26%，至每個(gè)席位77美元。

增強(qiáng)的安全分析和人工智能/機(jī)器學(xué)習(xí)集成：云端SIEM利用高級(jí)分析和人工智能/機(jī)器學(xué)習(xí)來改善威脅檢測(cè)和響應(yīng)能力。這種集成有助于減少誤報(bào)，并實(shí)現(xiàn)預(yù)測(cè)性安全措施。

更快的部署和管理：與需要大量設(shè)置和維護(hù)的本地解決方案相比，云端SIEM提供更快的部署速度。云端SIEM解決方案是即插即用的安全平臺(tái)，因此組織可以訂閱、通過API集成資產(chǎn)、使用SOAR自動(dòng)響應(yīng)，并設(shè)置定制的檢測(cè)規(guī)則。

合規(guī)性和監(jiān)管支持：這些解決方案提供全面的報(bào)告功能，幫助組織滿足GDPR、HIPAA等監(jiān)管要求。

跨行業(yè)的日益采用：在各行業(yè)日益采用云計(jì)算的推動(dòng)下，云端SIEM市場(chǎng)預(yù)計(jì)將顯著增長(zhǎng)。

通信和網(wǎng)絡(luò)安全提供商Exponential-e的網(wǎng)絡(luò)解決方案顧問Muhammad Ali表示，現(xiàn)代云端SIEM的功能不僅是日志管理，它還是一個(gè)智能安全中心，內(nèi)置SOAR功能，與基于云的XDR/EDR解決方案，實(shí)時(shí)全球威脅情報(bào)無(wú)縫API集成，這意味著更強(qiáng)的檢測(cè)能力和對(duì)先進(jìn)網(wǎng)絡(luò)威脅的更快、自動(dòng)化響應(yīng)。

從市場(chǎng)上看，根據(jù)Context報(bào)告，2024年云端SIEM收入同比增長(zhǎng)60%。通過托管服務(wù)提供商(MSP)提供的基于SIEM的服務(wù)增長(zhǎng)了六倍多，增幅高達(dá)550%。

隨著云計(jì)算的不斷發(fā)展，云端SIEM解決方案將變得更加普遍，為組織提供一個(gè)強(qiáng)大和可擴(kuò)展的安全框架。人工智能和機(jī)器學(xué)習(xí)的集成將增強(qiáng)威脅檢測(cè)能力，使這些解決方案在管理不斷演變的網(wǎng)絡(luò)安全威脅方面變得至關(guān)重要。

人工智能和自動(dòng)化的發(fā)展

將人工智能(AI)集成到安全信息和事件管理(SIEM)系統(tǒng)中，正在深刻重塑網(wǎng)絡(luò)安全格局。

基于靜態(tài)規(guī)則的SIEM難以跟上當(dāng)今復(fù)雜的網(wǎng)絡(luò)威脅，這就是為什么采用人工智能的SIEM平臺(tái)興起的原因所在。AI驅(qū)動(dòng)的SIEM使用實(shí)時(shí)機(jī)器學(xué)習(xí)(ML)來分析大量安全數(shù)據(jù)，提高了識(shí)別異常和傳統(tǒng)技術(shù)可能遺漏的新攻擊技術(shù)的能力。

AI正在通過增強(qiáng)威脅檢測(cè)、自動(dòng)化響應(yīng)、提高準(zhǔn)確性和實(shí)現(xiàn)預(yù)測(cè)分析來徹底改變SIEM格局：

增強(qiáng)威脅檢測(cè)和響應(yīng)：AI驅(qū)動(dòng)的SIEM實(shí)時(shí)分析大量數(shù)據(jù)，利用機(jī)器學(xué)習(xí)算法檢測(cè)可能表明惡意活動(dòng)的異常和模式，從而識(shí)別潛在威脅。同時(shí)，AI自動(dòng)化事件響應(yīng)工作流程，通過隔離受影響系統(tǒng)、阻止惡意IP地址和部署補(bǔ)丁來縮短緩解威脅所需的時(shí)間。

提高準(zhǔn)確性和減少誤報(bào)： AI增強(qiáng)了事件關(guān)聯(lián)和上下文感知能力，通過準(zhǔn)確區(qū)分良性異常和實(shí)際威脅來減少誤報(bào)。同時(shí)，AI和機(jī)器學(xué)習(xí)使SIEM具備預(yù)測(cè)分析能力，通過分析歷史數(shù)據(jù)中的趨勢(shì)和模式，可以預(yù)測(cè)潛在的安全事件。

增強(qiáng)可擴(kuò)展性和效率：AI通過自動(dòng)化任務(wù)和高效處理大量數(shù)據(jù)來提高SIEM系統(tǒng)的可擴(kuò)展性，而無(wú)需相應(yīng)增加資源或成本。

主動(dòng)的網(wǎng)絡(luò)安全態(tài)勢(shì)：AI使組織能夠采取主動(dòng)的網(wǎng)絡(luò)安全態(tài)勢(shì)，預(yù)測(cè)并在威脅實(shí)現(xiàn)攻擊之前加以緩解。

Exponential-e的Ali認(rèn)為，人工智能驅(qū)動(dòng)的SIEM解決方案不僅可以檢測(cè)威脅，還自動(dòng)化了調(diào)查過程，將實(shí)時(shí)事件與全球威脅情報(bào)相關(guān)聯(lián)。通過與SOAR和XDR/EDR平臺(tái)集成，可以觸發(fā)自動(dòng)響應(yīng)或?qū)⑹录蠄?bào)給安全分析師以采取進(jìn)一步行動(dòng)。這大大提高了事件響應(yīng)效率，并支持了一個(gè)更高效、更敏捷的安全運(yùn)營(yíng)中心，可以比攻擊者領(lǐng)先一步。

安全牛認(rèn)為，隨著AI的不斷發(fā)展，它將在下一代SIEM解決方案的發(fā)展中發(fā)揮關(guān)鍵作用。

市場(chǎng)的整合與并購(gòu)

隨著供應(yīng)商尋求開發(fā)更全面、更強(qiáng)大的平臺(tái)，SIEM市場(chǎng)正在經(jīng)歷快速整合。在剛剛過去的2024年,思科以280億美元完成了對(duì)Splunk的最大收購(gòu)，旨在利用Splunk的機(jī)器數(shù)據(jù)分析平臺(tái)增強(qiáng)了思科的威脅檢測(cè)和響應(yīng)能力；Palo Alto Networks以5億美元收購(gòu)了IBM的QRadar SaaS資產(chǎn)，將QRadar的威脅檢測(cè)整合到Palo Alto的Cortex XSIAM平臺(tái)中,并加強(qiáng)IBM與Palo Alto在安全需求方面的合作關(guān)系；LogRhythm和Exabeam合并為名為Exabeam的公司，將LogRhythm的SIEM基礎(chǔ)與Exabeam的先進(jìn)AI驅(qū)動(dòng)分析相結(jié)合，旨在創(chuàng)建一個(gè)更強(qiáng)大、AI增強(qiáng)的SIEM產(chǎn)品；Fortinet收購(gòu)了云安全專家Lacework, ,增強(qiáng)其FortiSIEM平臺(tái)。

更早以前，IBM 在2021 年收購(gòu)了 Reaqta(專注于 AI 驅(qū)動(dòng)的檢測(cè))，以增強(qiáng)其 QRadar 在XDR 市場(chǎng)的功能：Google 在2022 年收購(gòu)了 Siemplify(SOAR 旗下公司),以將其整合到 Google Chronicle SIEM 中。

SIEM市場(chǎng)的行業(yè)整合正在推動(dòng)技術(shù)進(jìn)步、簡(jiǎn)化運(yùn)營(yíng)并重塑競(jìng)爭(zhēng)格局：

促進(jìn)技術(shù)進(jìn)步：市場(chǎng)的整合推動(dòng)了將人工智能、機(jī)器學(xué)習(xí)和自動(dòng)化集成到SIEM解決方案中，增強(qiáng)了威脅檢測(cè)和響應(yīng)能力。同時(shí)，創(chuàng)建集成安全平臺(tái)的趨勢(shì)將SIEM與XDR、NDR和SOAR等技術(shù)相結(jié)合，提供更全面的安全解決方案。

減少?gòu)?fù)雜性并簡(jiǎn)化運(yùn)營(yíng)：整合可以通過減少?gòu)?fù)雜性和改善不同安全工具之間的集成來實(shí)現(xiàn)更加簡(jiǎn)化的安全運(yùn)營(yíng)。Datadog的陳女士認(rèn)為，組織要求減少工具數(shù)量、加深集成以及無(wú)縫端到端的安全運(yùn)營(yíng)，能夠?qū)崿F(xiàn)這一點(diǎn)的供應(yīng)商將塑造網(wǎng)絡(luò)安全的未來。

重塑競(jìng)爭(zhēng)格局：主要 SIEM 供應(yīng)商的整合，如思科收購(gòu) Splunk 和Palo Alto Networks 收購(gòu) IBM 的QRadar，大幅增加了諸如思科、微軟和谷歌等大公司的市場(chǎng)份額，成為SIEM市場(chǎng)，乃至網(wǎng)絡(luò)安全市場(chǎng)的主導(dǎo)。

Context Tune認(rèn)為，在市場(chǎng)層面，活躍的并購(gòu)使得越來越少供應(yīng)商單獨(dú)銷售SIEM產(chǎn)品，而是將其捆綁在套件中銷售。同時(shí)，傳統(tǒng)SIEM供應(yīng)商通過收購(gòu)云原生安全公司，幫助推動(dòng)客戶從本地部署過渡到具有更有競(jìng)爭(zhēng)力定價(jià)模式的云端解決方案。

安全牛預(yù)測(cè)，未來隨著SIEM市場(chǎng)的進(jìn)一步整合，SIEM解決方案將向第五代解決方案轉(zhuǎn)變，其中包含人工智能、機(jī)器學(xué)習(xí)和自動(dòng)化，以有效應(yīng)對(duì)不斷演變的網(wǎng)絡(luò)安全威脅。