安全信息和事件管理(SIEM)平臺的價值已經(jīng)遠遠超越了基本的日志收集和關(guān)聯(lián)根源，云的采用、多種工具的集成和人工智能技術(shù)正在推動SIEM系統(tǒng)迎來重大變革，使其成為一個監(jiān)控日志數(shù)據(jù)以發(fā)現(xiàn)異常和可疑事件的平臺，并根據(jù)異常行為和檢測規(guī)則觸發(fā)警報。現(xiàn)代SIEM平臺現(xiàn)在包含了擴展檢測和響應(yīng)(XDR)以及安全編排、自動化和響應(yīng)(SOAR)，實現(xiàn)了實時威脅檢測和自動化補救。

IDC預(yù)計，未來SIEM將成為SOC的響應(yīng)中心，通過行動手冊自動處理許多事件。谷歌預(yù)測，隨著企業(yè)云采用的不斷增加， SIEM將成為企業(yè)SOC(安全運營中心)的核心，收集和分析來自云環(huán)境和終端設(shè)備的所有安全相關(guān)數(shù)據(jù)。

安全牛綜合分析認為，SIEM、XDR和SOAR的融合，云端SIEM的興起，人工智能與自動化的發(fā)展，以及市場的整合與并購將重塑2025年的SIEM市場。

SIEM、XDR和SOAR的融合

市場情報公司Context的全球研究和業(yè)務(wù)發(fā)展總監(jiān)Joe Turner認為，更大的攻擊面和更復(fù)雜的攻擊正促使企業(yè)將SIEM與其他技術(shù)(包括XDR和SOAR)相結(jié)合，作為關(guān)聯(lián)、檢測和補救威脅的平臺進行投資。

SIEM 、XDR 和SOAR 的融合代表了網(wǎng)絡(luò)安全的一次重大演進。將不同功能整合到統(tǒng)一平臺可以簡化安全運營，為安全團隊提供了一個單一控制臺來監(jiān)控、分析和響應(yīng)威脅，減少了在多個工具之間切換的復(fù)雜性，提高了可用性和效率。

安全牛認為，這種融合主要帶來三方面的價值：

融合帶來增強的威脅檢測和響應(yīng)：SIEM帶來了全面的日志分析和合規(guī)性能力；XDR利用人工智能和自動化，在終端、網(wǎng)絡(luò)和云環(huán)境中提供高級威脅檢測；SOAR自動化響應(yīng)工作流程，減少了人工干預(yù)，加快了事件解決速度。

融合將減少警報疲勞：通過將 SIEM 的日志分析與 XDR 的高級威脅檢測和 SOAR 的自動化相結(jié)合，系統(tǒng)可以更有效地對警報進行優(yōu)先級排序，使分析師專注于關(guān)鍵威脅。

融合將改善資源管理：融合有助于通過自動化日常任務(wù)，并提供可操作的洞見來優(yōu)化資源分配，這對于資源有限的小團隊尤為有利。

通過將 SIEM 與XDR 和SOAR 融合，組織獲得了一個數(shù)據(jù)集成、功能統(tǒng)一的安全平臺，不僅可以減少多系統(tǒng)運維的復(fù)雜性，更能實現(xiàn)自動化的威脅檢測和響應(yīng)，大幅提高事件處理效率，無需人工干預(yù)即可快速遏制威脅。當(dāng)SIEM檢測到安全事件時，SOAR通過XDR觸發(fā)自動響應(yīng)操作——隔離受損終端、禁用受損用戶賬戶或?qū)崟r阻止惡意流量。

英國管理服務(wù)提供商Emerging T-Tech董事George McKenna表示，SIEM與XDR和SOAR的融合使企業(yè)能夠簡化運營、提高檢測效率，并縮短問題處理時間。這是因為傳統(tǒng)的SIEM雖然有效地進行日志聚合和關(guān)聯(lián)，但缺乏當(dāng)今威脅環(huán)境所需的細粒度可見性和自動化響應(yīng)能力。XDR通過融合終端、網(wǎng)絡(luò)和云環(huán)境的安全遙測數(shù)據(jù)來彌補這一差距，提供了對潛在威脅的整體視圖；SOAR實現(xiàn)了事件響應(yīng)工作流程的自動化，加快了緩解和補救。

安全牛分析認為，隨著網(wǎng)絡(luò)安全威脅的不斷演變，SIEM、XDR 和SOAR 的融合可能會變得更加普遍，為組織提供一種強大的防御機制來抵御復(fù)雜的攻擊。這種集成將繼續(xù)完善安全運營，使其更加高效，并能夠響應(yīng)新出現(xiàn)的威脅。

云端SIEM的興起

隨著組織尋求更可擴展、更經(jīng)濟高效的平臺，向云端SIEM的轉(zhuǎn)移正在加速。云端SIEM解決方案的興起正在通過提供可擴展、經(jīng)濟高效和先進的安全分析能力來改變網(wǎng)絡(luò)安全：

可擴展性和成本效益：與傳統(tǒng)的本地解決方案相比，云端SIEM可以更容易擴展，允許組織在無需大規(guī)模硬件升級的情況下處理大量安全數(shù)據(jù)；云端SIEM每個席位的成本通常更低，因此對中小型企業(yè)(SMB)更具吸引力。根據(jù)Context的數(shù)據(jù)，2024年本地SIEM的成本上漲了116%，平均每個席位93美元。相比之下，去年云端SIEM的成本下降了26%，至每個席位77美元。

增強的安全分析和人工智能/機器學(xué)習(xí)集成：云端SIEM利用高級分析和人工智能/機器學(xué)習(xí)來改善威脅檢測和響應(yīng)能力。這種集成有助于減少誤報，并實現(xiàn)預(yù)測性安全措施。

更快的部署和管理：與需要大量設(shè)置和維護的本地解決方案相比，云端SIEM提供更快的部署速度。云端SIEM解決方案是即插即用的安全平臺，因此組織可以訂閱、通過API集成資產(chǎn)、使用SOAR自動響應(yīng)，并設(shè)置定制的檢測規(guī)則。

合規(guī)性和監(jiān)管支持：這些解決方案提供全面的報告功能，幫助組織滿足GDPR、HIPAA等監(jiān)管要求。

跨行業(yè)的日益采用：在各行業(yè)日益采用云計算的推動下，云端SIEM市場預(yù)計將顯著增長。

通信和網(wǎng)絡(luò)安全提供商Exponential-e的網(wǎng)絡(luò)解決方案顧問Muhammad Ali表示，現(xiàn)代云端SIEM的功能不僅是日志管理，它還是一個智能安全中心，內(nèi)置SOAR功能，與基于云的XDR/EDR解決方案，實時全球威脅情報無縫API集成，這意味著更強的檢測能力和對先進網(wǎng)絡(luò)威脅的更快、自動化響應(yīng)。

從市場上看，根據(jù)Context報告，2024年云端SIEM收入同比增長60%。通過托管服務(wù)提供商(MSP)提供的基于SIEM的服務(wù)增長了六倍多，增幅高達550%。

隨著云計算的不斷發(fā)展，云端SIEM解決方案將變得更加普遍，為組織提供一個強大和可擴展的安全框架。人工智能和機器學(xué)習(xí)的集成將增強威脅檢測能力，使這些解決方案在管理不斷演變的網(wǎng)絡(luò)安全威脅方面變得至關(guān)重要。

人工智能和自動化的發(fā)展

將人工智能(AI)集成到安全信息和事件管理(SIEM)系統(tǒng)中，正在深刻重塑網(wǎng)絡(luò)安全格局。

基于靜態(tài)規(guī)則的SIEM難以跟上當(dāng)今復(fù)雜的網(wǎng)絡(luò)威脅，這就是為什么采用人工智能的SIEM平臺興起的原因所在。AI驅(qū)動的SIEM使用實時機器學(xué)習(xí)(ML)來分析大量安全數(shù)據(jù)，提高了識別異常和傳統(tǒng)技術(shù)可能遺漏的新攻擊技術(shù)的能力。

AI正在通過增強威脅檢測、自動化響應(yīng)、提高準確性和實現(xiàn)預(yù)測分析來徹底改變SIEM格局：

增強威脅檢測和響應(yīng)：AI驅(qū)動的SIEM實時分析大量數(shù)據(jù)，利用機器學(xué)習(xí)算法檢測可能表明惡意活動的異常和模式，從而識別潛在威脅。同時，AI自動化事件響應(yīng)工作流程，通過隔離受影響系統(tǒng)、阻止惡意IP地址和部署補丁來縮短緩解威脅所需的時間。

提高準確性和減少誤報： AI增強了事件關(guān)聯(lián)和上下文感知能力，通過準確區(qū)分良性異常和實際威脅來減少誤報。同時，AI和機器學(xué)習(xí)使SIEM具備預(yù)測分析能力，通過分析歷史數(shù)據(jù)中的趨勢和模式，可以預(yù)測潛在的安全事件。

增強可擴展性和效率：AI通過自動化任務(wù)和高效處理大量數(shù)據(jù)來提高SIEM系統(tǒng)的可擴展性，而無需相應(yīng)增加資源或成本。

主動的網(wǎng)絡(luò)安全態(tài)勢：AI使組織能夠采取主動的網(wǎng)絡(luò)安全態(tài)勢，預(yù)測并在威脅實現(xiàn)攻擊之前加以緩解。

Exponential-e的Ali認為，人工智能驅(qū)動的SIEM解決方案不僅可以檢測威脅，還自動化了調(diào)查過程，將實時事件與全球威脅情報相關(guān)聯(lián)。通過與SOAR和XDR/EDR平臺集成，可以觸發(fā)自動響應(yīng)或?qū)⑹录蠄蠼o安全分析師以采取進一步行動。這大大提高了事件響應(yīng)效率，并支持了一個更高效、更敏捷的安全運營中心，可以比攻擊者領(lǐng)先一步。

安全牛認為，隨著AI的不斷發(fā)展，它將在下一代SIEM解決方案的發(fā)展中發(fā)揮關(guān)鍵作用。

市場的整合與并購

隨著供應(yīng)商尋求開發(fā)更全面、更強大的平臺，SIEM市場正在經(jīng)歷快速整合。在剛剛過去的2024年,思科以280億美元完成了對Splunk的最大收購，旨在利用Splunk的機器數(shù)據(jù)分析平臺增強了思科的威脅檢測和響應(yīng)能力；Palo Alto Networks以5億美元收購了IBM的QRadar SaaS資產(chǎn)，將QRadar的威脅檢測整合到Palo Alto的Cortex XSIAM平臺中,并加強IBM與Palo Alto在安全需求方面的合作關(guān)系；LogRhythm和Exabeam合并為名為Exabeam的公司，將LogRhythm的SIEM基礎(chǔ)與Exabeam的先進AI驅(qū)動分析相結(jié)合，旨在創(chuàng)建一個更強大、AI增強的SIEM產(chǎn)品；Fortinet收購了云安全專家Lacework, ,增強其FortiSIEM平臺。

更早以前，IBM 在2021 年收購了 Reaqta(專注于 AI 驅(qū)動的檢測)，以增強其 QRadar 在XDR 市場的功能：Google 在2022 年收購了 Siemplify(SOAR 旗下公司),以將其整合到 Google Chronicle SIEM 中。

SIEM市場的行業(yè)整合正在推動技術(shù)進步、簡化運營并重塑競爭格局：

促進技術(shù)進步：市場的整合推動了將人工智能、機器學(xué)習(xí)和自動化集成到SIEM解決方案中，增強了威脅檢測和響應(yīng)能力。同時，創(chuàng)建集成安全平臺的趨勢將SIEM與XDR、NDR和SOAR等技術(shù)相結(jié)合，提供更全面的安全解決方案。

減少復(fù)雜性并簡化運營：整合可以通過減少復(fù)雜性和改善不同安全工具之間的集成來實現(xiàn)更加簡化的安全運營。Datadog的陳女士認為，組織要求減少工具數(shù)量、加深集成以及無縫端到端的安全運營，能夠?qū)崿F(xiàn)這一點的供應(yīng)商將塑造網(wǎng)絡(luò)安全的未來。

重塑競爭格局：主要 SIEM 供應(yīng)商的整合，如思科收購 Splunk 和Palo Alto Networks 收購 IBM 的QRadar，大幅增加了諸如思科、微軟和谷歌等大公司的市場份額，成為SIEM市場，乃至網(wǎng)絡(luò)安全市場的主導(dǎo)。

Context Tune認為，在市場層面，活躍的并購使得越來越少供應(yīng)商單獨銷售SIEM產(chǎn)品，而是將其捆綁在套件中銷售。同時，傳統(tǒng)SIEM供應(yīng)商通過收購云原生安全公司，幫助推動客戶從本地部署過渡到具有更有競爭力定價模式的云端解決方案。

安全牛預(yù)測，未來隨著SIEM市場的進一步整合，SIEM解決方案將向第五代解決方案轉(zhuǎn)變，其中包含人工智能、機器學(xué)習(xí)和自動化，以有效應(yīng)對不斷演變的網(wǎng)絡(luò)安全威脅。