Forrester Wave™ 的作者引用了《帝國反擊戰》的一句話來總結 SIEM 的發展方向：“你該留在這里，和我們一起在云端。”繼續跟隨“星戰”的指引，我們還能在《魅影危機》中發現一些真理：“你阻止不了改變，就像你阻止不了太陽下山一樣。”

在適應不斷變化的威脅方面，安全分析始終是一貫的需求，今年也不例外。威脅檢測、調查和響應比以往更加復雜。由于員工居家工作所處的是一個不斷演變的威脅環境，企業正在逐漸將工作負載轉移到云端。因此，現代安全分析已不僅限于 SIEM，這其中還要包括 SOAR、用戶和實體行為分析 (UEBA)，乃至擴展的檢測和響應 (XDR)。立足 2021年，作為買家的我們在購買時應考慮哪些趨勢？來自《The Forrester Wave™：2020 年第四季度的安全分析平臺》的洞察力解讀，云服務將會成為選擇解決方案的關鍵并會為一系列的功能選擇指明道路。

面向云服務的 SIEM 網絡安全

過去，大家一直將安全分析視為本地工具集。但近年來，軟件即服務 (SaaS) 的 SIEM 安全工具表現出向上發展趨勢。出現這樣的局面都是應需求變化所致，即降低資本支出以轉向基于運營支出的模型。此外，作為 SaaS 提供的 SIEM 工具還可縮短價值實現時間且更靈活、更易于擴展。

如今，多家供應商都在基礎架構即服務（在 AWS/Azure 上運行）和容器產品中提供了云部署支持。這些解決方案的部署可以更靈活，提供更好的擴展性和可移植性。

Forrester 報告的作者表示，在 SaaS 或云托管模型下使用 SIEM“使供應商能夠更快地向其客戶推出新功能并減少這些系統的管理開銷”。

快速靈活的云服務是 SIEM 買家在 2021年選擇附加功能時要考慮的主要因素。

可定制性

對于企業而言，由供應商直接提供的檢測內容和分析就足以應對需求。不過，采用高級用例的企業會在靈活性上有更高的要求。此外，高級用戶需要能夠創建定制分析。開放式分析和機器學習對于定制檢測而言至關重要。

高級分析

2018 年，Gartner 預測 85% 的 UEBA 會成為更廣泛的安全平臺的一項功能。很多供應商支持行為分析，并通過網絡和終端檢測工具提供更多數據。兩年后，隨著威脅和威脅實施者的發展，我們會需要分層分析手段，例如：

• 關聯，包括多個來源、威脅數據和開箱即用的檢測用例。
• 機器學習，包括應用于用戶、網絡和資產的多種統計模型。
• 自動化，包括自動檢測和響應工作流程以及針對惡意軟件或網絡釣魚的自動響應。

MITRE ATT&CK™

近年來，以攻擊者操作方式的模型為基礎，MITRE ATT&CK 框架已成為事實上的威脅檢測框架。

團隊需要具備將任務（包括可視性和檢測，以及調查和響應）映射到框架的能力。這能夠幫助他們見微知著，在攻擊方面做到防范于未然。將活動性攻擊和進行性攻擊具象化能夠為威脅獵捕者和響應者提供背景信息，幫助他們在研究威脅時以更快的速度和更自信的態度來采取行動。

XDR

XDR 支持多種威脅檢測和響應。根據 Forrester Wave™ 的報告，終端檢測和響應 (EDR) 與其他工具的分析相結合“即可[實現]高豐度遙測、快速調查和自動響應行動”。

去年年初，我們探討了 SIEM 的過去、現在和未來。我們研究的趨勢之一是在用戶、設備、網絡、應用和云端繼續采用基于行為的分析。在此基礎上，我們認為 SIEM 的未來是開放的，需要以工具無縫協同工作為途徑，實現更具凝聚力的工作流。

立足 2021 年展望未來，我們很高興看到業界正在朝著開放安全、標準協議以及跨多系統的讀取收集努力，以奔向這一全新領域。借助 XDR，業界正走向建立更廣泛、更緊密聯系的方向。

SIEM 一直在發展

著眼于以往的安全分析發展程度并展望即將到來的變化，很明顯，選擇一個了解市場需求的合作伙伴是非常重要的。

IBM Security 已獲得 2020 年第四季度 Forrester Wave™ 安全性分析領導者的殊榮，而且在現有產品類別中的得分最高。立即前往 2021全新安全專區，掌握最新安全技術趨勢。

Forrester Wave™ 的版權歸 Forrester Research, Inc. 所有。Forrester 和 Forrester Wave 是 Forrester Research, Inc. 的商標。Forrester Wave 是 Forrester 對市場拜訪調研的圖形化表示，使用詳細的電子表格（包括公開評分、權重和備注等）繪制而成。Forrester 不對 Forrester Wave 中所述的任何供應商、產品或服務提供任何保證。信息基于最佳可用資源。觀點反映的是當時的判斷，可隨時更改。

[[375583]]