2017年9月1日下班后，邮箱里出现了一封来自MicroFocus的邮件，里面宣布HPE软件部门的分拆和与MicroFocus的合并正式完成。我赶紧打开Arcisght的网页，果然，URL被重定向到了MicroFocus。看到此幕，令我唏嘘不已。

想起来，我其实对Arcsight还是比较有感情的。

我2001年在联想开始了SOC从业之旅。也就是在那个时候，我接触到了Gartner，并从此追踪它们的研究直到现在。

这是我当时所看到的第一份Garnter的报告（还有中文版哦。那时Gartner就已经进入中国了，在上海北京有办事处）。不得不说，现在还在跟Kelly Kavanagh打交道（他现在是SIEM MQ的主笔）。

在2003年的时候，我们团队开始着手调研全球的SIEM/SOC市场，以期进行引进合作（这里有一篇我2003年初写的调研报告——安全集中管理系统早期调研）。当时，我们还看到了Gartner第一篇有关安全管理平台的报告。那时候还没有SIEM这个术语，与之相近的市场细分包含了企业事件管理。下面这个MQ中的大部分厂商我们当时都有调研过。

那时候，安氏跟e-Security合作，引进他们的Sentinel；启明星辰则在后来跟NetForensics合作；绿盟自己做了个ESP。当时我们跟netForensics，IBM Tivoli都进行了谈判和产品评估，但都不是很理想，最后选定了Arcsight。当时，Arcsight才成立没几年，刚刚推出产品。但是Arcsight表现了巨大的诚意。在跟我们谈判期间，成立了亚太区，派香港人Robert担纲，并很快来到北京和我们具体商谈合作事宜。另一方面，我们团队进行了仔细的技术评估，也认可了Arcsight的技术。于是，我们后来经常说，是我们（联想）团队将Arcsight引入了中国。

2004年的时候，Gartner正式开始对安管平台进行MQ分析，如下图。

【注：上图是我去年才看到的，在当年可没有见过:-)】尽管我N年后才看到这个图，不过在2003年的时候，我们已经基本将这些公司分析了一遍。那时候，Arcsight还不算特别突出。当年最厉害的三个厂商是e-Security，netForensics，Intellitectics。

时至今日，这三个厂商都已经面目全非。e-Security后来被Novell收购，后来Novell以及NetIQ又被Attachmate收购，Attachmate又被MicroFocus收购。真累。所以多说一嘴，现在的MicroFocus其实有两套SIEM/安管平台/品牌了，包括Arcsight和NetIQ（NetIQ原始的SIEM在跟e-Security/Novell的Sentinel的PK中已经被干掉，但是胜出的Sentinel挂上了NetIQ品牌，够乱的）。现在登录MicroFucus的网站，依然可以看到Sentinel！真不知道他们以后打算怎么搞！

再说netForensics，已经改换门庭，叫“黑云”BlackStratus公司了。该公司一度想要纳斯达克上市，但尚未成功。现在BlackStratus主要做SaaS和给MSSP提供SIEM服务平台。

至于Intellitectics，在2010年被Trustwave收购了，成为了他们的MSS平台【参见我的博客《       Gartner：2013-2014年全球MSS市场分析》】。

回到跟Arcsight的合作。事实证明，我们的选择是正确的。Arcsight发展势头很猛，自从跟我们合作后，很快打开了中国市场，包括当时的IBM都主卖Arcsight而不是自己的Tivoli（尽管也在不断收购SIEM厂商）。我们团队在离开联想继续着跟Arcsight的合作，帮助其开拓中国市场，实施了头几个中国的典型客户。

在Garnter的MQ排名方面，Arcsight也是一路飙升。

2005年Gartner第一次发表了SIEM的MQ，Arcsight地位已经很高了。

此后，所有的SIEM MQ，Arcsight都位居第一象限，也是唯一一个做到这点的厂商。2008年初，Arcsight在Nasdaq上市成功。从2009年开始，Arcsight正式成为了SIEM市场第一（包括销量和综合实力），并在2011年的MQ达到了顶峰。也就是那时候开始，Arcsight成为了SIEM市场的统治者。

就像大部分其他的故事发展情节一样，上市后的Arcsight开始了一系列戏剧性的变化。首先，就是被巨头们盯上了。彼时的SIEM市场炙手可热，人们谈论Arcsight就像后来人们讨论Splunk之于数据分析，FireEye之于沙箱一样，成为了安全领域的一个“银弹”。IBM和HP，还有一堆老大们为了占领这个市场，纷纷展开并购。最后，HP捷足先登，在2010年收购了Arcsight。搞得IBM没有办法，只好在2011年收购了Q1Labs。

事实证明，HP收购Arcsight是一个失败的案例。这个结局也许从一开始就能显示出来。对比一下，就能发现，Hp收购Arcsight并未给Arcsight太大的自主权，而且从并购之初就出现了大量的人员兑现走人。再加上HP自身过于庞大，兼顾PC和软件业务，渐渐自顾不暇。而IBM收购Q1Labs则表示了极大的诚意，整个成立了一个安全部，让Q1Labs的掌管，并将之前IBM的各类安全产品交给Q1labs团队打理，并购后没有出现大的人员离职潮。

从HP并购Arcsight开始，离职就是主旋律，我之前的博客《风雨飘摇中的HP会分拆Arcsight业务吗？》有大量提及。2012年5月，前Arcsight的CEO，并购后掌管HP大安全业务的Tom Reilly离开了HP，成为了一个标志性事件。Arcsight成了SIEM的“黄埔军校”，人员散落各处。

其实，早在2010年并购后，Arcsight亚太团队就已经开始兑现走人了，Robert带着人去到了当时正在冉冉升起的新星——Splunk。那时候，不断有Arcsight的人去Splunk，包括后来的Arcsight研发主管宋海燕【以前Tom Reilly和宋海燕都曾到访中国跟我们交流过】。这些人赌的，就是Splunk的上市（2012年上市）。

伴随着创业者的离开，HP自身的臃肿，还有Arcsight逐渐固步自封。也就是从2011年开始，各种隐患开始显现：价格昂贵，部署极其复杂，使用成本居高不下，包括主要还是老一代的SIEM技术架构，死绑Oracle数据库，事件处理性能上不去，C/S架构，B/S很弱，加上效果不显著，客户不满逐渐增加。而这时候对手们却开始发力，运用新的技术架构奋力赶超。

从2012年开始，Arcsight一枝独秀的场景不再，SIEM市场开始进入三足鼎立的时代（HP的Arcsight，IBM的Qradar，McAfee的NitroSecurity）。

在我对2013年度的SIEM MQ评论中，我写到：“HP ArcSight主要是在2011年到2012年间重建了他的ESM后台数据库，将之前饱受争议的Oralce更换为了轻量级的数据库CORR，推出了ESM6.0c，性能改进了不少。但即便如此，其系统部署和实施的复杂性依然高过其他竞争对手。同时，在一些代表未来的SIEM新技术应用方面，Arcsight也落后其他两大巨头。”

随着Splunk吸收了大量Arcsight的创业人员，到2012年上市和异军突起，渐渐加入了SIEM MQ的战团。到了2014年，SIEM市场成为了四国大战时代（HP，IBM，Intel（McAfee）和Splunk）。再到2016年，SIEM三强已经换成了IBM，Splunk和LogRhythm了。

2012年，Arcsight还能勉强支撑，从2014年开始，Arcsight就已经明显开始退步了。每次Gartner对Arcsight的评价都是太重型、架构太老、部署和使用太复杂、太贵、客户不满很多。技术评分（Critical Capabilities）方面都是表现平平。

相信，随着Arcsight归入MicroFocus旗下，一方面技术连连退步，另一方面品牌和市场损失必然不小，Gartner在2017年的MQ中恐怕不会对Arcsight有啥好话【注：写此文时2017年MQ还没有发布】。

可以说，我是看着Arcsight成长起来的，还曾经一度参与其中，现在看着Arcsight改换门庭，不知道未来的Arcsight将如何继续走下去。

现在，MicroFocus的主要管理者都是HPE过去的，不知道是否会有些帮助。但想着Arcsight跟NetIQ  Sentinel兑在一块儿，感觉很是怪异。接下来，我最关注的就是MicroFocus如何处理Arcsight跟NetIQ这两个品牌，及其里面的大量软件组合。

这种并购最麻烦的就是产品的用户了。Arcsight客户流失不可避免，并且早已发生。

还有一个令我哭笑不得的是，Arcsight在中国的情况更加复杂，因为还有HP出售H3C多数股权给紫光这档子事儿。新华三成立后，承接了HPE（慧与，不是惠普）很多原来的业务。NetIQ在中国是有总代的，但MicroFocus在中国似乎没有总代。我听说HPE搞Arcsight的人被分拆到了新华三？在中国市场，从HPE分拆出去那帮人去哪里了呢？微焦中国？总之，乱的很。不知道新微焦（MicroFocus）将如何收拾中国的这一大摊子事儿。

【参考】

风雨飘摇中的HP会分拆Arcsight业务吗？

从HP收购ArcSight看SIEM/MSS市场现状与格局【9月17日更新】

Arcsight产品市场副总谈并入HP之后的发展策略

Gartner：2016年SIEM（安全信息与事件管理）市场分析

Gartner：2015年SIEM（安全信息与事件管理）市场分析

Gartner：2014年SIEM（安全信息与事件管理）市场分析

Gartner：2013年SIEM市场分析（MQ）

Gartner：2012年SIEM（安全信息与事件管理）市场分析报告

Gartner发布2011年SIEM市场分析报告（幻方图）

评Gartner2010年安全信息和事件管理（SIEM）分析报告

Gartner公司对2009年安全信息和事件管理（SIEM）的分析报告