评Gartner2010年安全信息和事件管理（SIEM）分析报告

概述

2010年5月13日，一年一度的Gartner安全信息和事件管理（SIEM）幻方图（魔幻象限/MQ）发布了。根据这份2010年的SIEM MQ显示，SIEM市场已经成熟，竞争越发激烈，并向中小企业市场渗透。同时，SIEM市场出现了明显的分化，有的新崛起的厂商势头强劲，而另一些厂商则反应迟缓，有的甚至出现了业务萎缩。此外，SIEM产品的表现形式也也越发多样性，有的依然是纯正的SIEM，有的则与其他产品进行整合（例如与IAM整合，与GRC整合）。

整体市场发展状况

Gartner的报告指出，2009年的SIEM市场增长依然强劲，与 2008年相比，多出35%的客户计划上马SIEM项目。业界大部分厂商都宣称业绩大幅增长。与2008年相比，SIEM的总营收增长只有15%，达到 11.5亿美元，这更加说明了SIEM产品正在向中小企业市场渗透，当然企业的预算投入也更趋理性。

与2008年一样，2009年的SIEM市场驱动力依然还是合规与安全标准，尤其是北美市场。亚欧市场的SIEM驱动力主要还是用于实时威胁监测和应急事件响应。

与2009年的SIEM MQ一样，Gartner将Log Management（LM/日志管理）纳入了SIM的范畴。

这次，Gartner对SIM和SEM有了更为简洁的描述：

Security information management (SIM) — log management and compliance reporting

Security event management (SEM) — real-time monitoring and incident management

当然，Gartner依然有更为精准的SIM/SEM定义，与去年的定义一模一样。

Gartner认为，一个优秀的SIEM方案应该具备以下特征（2009年也是这么说的）：

1）支持从主机、网络设备以及安全设备上实时地收集和分析日志；#p#

2）支持长期日志存储和历史报表分析；

3）不必进行大量的定制开发（即产品化程度高）；

4）易于部署和维护；

厂商分析

根据Gartner设定的门槛，一共有20个厂商进入了MQ。先说说没有入围的几个厂商：

1）思科MARS，由于众所周知的原因，思科停止了MARS产品对非思科产品线的日志支持，Gartner不再对其进行分析；

2）Splunk，这是Gartner连续两年将其拒绝。理由还是那条：Splunk没有实时日志分析功能，不符合Gartner对SIEM的定义（SEM用例）；

3）AlienVault，我个人认为值得关注，因为他拥有Open Source的OSSIM，不过由于营收肯定不合Gartner的标准，无法入围。

4）HP的 Compliance Log Warehouse (CLW) ，虽然是大鳄，不过产品都是OEM自SenSage的，自然不能入围。

5）Q1Labs 入围了，他也卖自己的软件，但是重点走OEM的路线，给别人的盒子做嫁衣。Enterasys、Juniper都是他的客户。这些公司都OEM了 Q1Labs的产品，包括Enterasys 的SIEM / Dragon Security Command Console，Juniper的Networks Security Threat Response Manager。所以这些厂家自然不能入围啦，各位可要认准啦。

6）有的厂家被收购了，自然无法再入围了。例如Intelitectics。

再看看上MQ的厂商：

如果你对比一下 2010年的和2009年的MQ，会有很多有趣的发现。

1）Arcsight一枝独秀。我认为这更多地归功于他的市场成功；

2）RSA的原地踏步。enVision能有这样的表现已不容易，看看其他的厂家的困境就知道了。另外，enVision能够维持领先的原因可能还包括EMC的超长产品线，包括enVision与 DLP方案的整合，以及最近新购买的Archer公司的GRC产品的整合。

3）Q1Labs略有退步，勉强维持领先。最近以来没啥新技术，新东东出来。不过比起其他退步的厂商而言，依然能够维持领先已不容易了。

4）NitroSecurity进步不小。一方面源于其2009年发布了不少新品，同时因为他的产品线布局清晰，并且更加合理。我认为很重要的一点就是引入了DAM。呵呵，跟我们的思路比较一致。值得一提的是，持同样理念的LogLogic今年却退步了，主要不是因为理念的问题，而是理念的落地上遇到的困难，与2008相比有退步。

5）一堆厂商在MQ的中间扎推，包括一堆大厂和一堆老厂。这些基本都属于Gartner称的发展迟缓、甚至萎缩的类型，包括IBM、CA和NetIQ为代表的厂商退步。尤其是IBM，退步明显。对于IBM，我感觉主要问题是他收购了一堆SIEM厂商后，整合乏力（自找的），名字起得倒是挺好听的，不过产品之间的关系说不清楚，架构也不一致，有点乱。不过，大厂有大厂的玩法——方案及产品整合。IBM和CA将SIEM与IAM整合到一起（Novell也这么做），NetIQ则将SIEM与配置管理和文件完整性整合到一起（类似Tripwire的做法）。

6）陪绑的，还是那几个厂商，要么在左边中间，要么位于左下角。对于他们而言，能上榜就是成功。

总的来说，进步的不多，退步的不少，原地踏步的一大把。此外，我个人觉得（没有数据支撑），上榜的公司占SIEM市场总营收的比重应该有减少，因为有很多新兴的区域的SIEM厂家涌现，欧洲、拉美、中国，亚洲，都有不少。此外，更多中小型企业和组织买入SIEM也使得这种市场分布更加广泛，因而销售额更加分散。

哪里获取这份报告？

现在的SIEM MQ价值越来越不如以前让人觉得珍贵了，可能是这个市场成熟了，也可能是Gartner的人自己也疲惫了。大部分上榜的厂家的官方网站都有下载链接，只要简单的做个注册即可。