【注：本文不是译文，是本人自己的理解混杂引用Gartner的报告内容。】

2015年7月20日，Gartner发布了2015年度的SIEM市场分析报告（MQ）。

对比2014年：

可以看出来，Splunk异军突起，已经超越了McAfee（Intel安全），综合评分也略微强于HP Arcsight。至此，SIEM的新三强产生，分别是IBM、Splunk和HP，McAfee屈居第四，而Logrhythm也是步步紧逼。

此外，Tiboco/LogLogic和Tenable退出了SIEM排名，Gartner的说法是他们不再将其产品定位为SIEM产品，尽管他们还是提供了一些跟SIEM的用例重叠的功能，但更多的是与SIEM形成互补。

IBM依然是老大，我的观点，Q1Lab的并购继续表明其正确性，尤其是以Q1Lab为班底打造的IBM Security的组织架构安排，我觉得比HP整合Arcsight的安排高明很多【IBM是把大部分的安全业务给Q1团队做，而HP是将Arcsight放进自己的安全业务团队中】。IBM无论是技术表现还是其产品战略布局都高于同行，而这也是我们学习的标杆，尤其是在产品布局这块。BTW，我们也在进行从事件到流再到包分析的布局，并且也已有小成，呵呵。而且，我们也已经找到了“超车的弯道”。

Gartner对Arcsight的表现还算认可。在2014年总算了做了一些必要的更新。但即便如此，Arcsight还是太重型，Gartner认为其部署和运维的高复杂度还是被用户颇多病垢。在最关键的技术指标评估方面，大部分技术指标（伸缩性、性能、预置规则有效性、定制便捷性、报表、查询、产品质量与稳定性）都低于此次参评厂商的平均分，说明其技术表现并不好，幸亏靠业绩和其他方面来找补。回顾Arcsight被HP并购后的这几年，Garnter对他的评估其实可以用一句话来总结，就是——逐年退步。

Splunk本来定位并非仅针对安全，他本来是要做整个IT的企业级分析应用。安全只是其中一个应用领域（Splunk App for Enterprise Security）而已。但几年下来，据我了解，营收的主要来源还是集中在安全上，看来他们的团队还是更擅长网络安全啊。Splunk跟其他几个巨头比，SIEM功能并非全面，更多是精于安全分析，但是在自定义安全规则、工作流处理方面就有欠缺了，Gartner建议客户另购工作流系统与Splunk集成。并且，Splunk的授权模式导致其产品比别家更贵。

McAfee退出三强倒不是说他有什么大的退步，更多是因为Splunk的进步，McAfee是不仅则退。在多个技术指标评估中，其产品评分都低于平均分。

另外，RSA的表现也依然没有起色，尽管已经用SA平台取代了原来的enVision。我觉得可能是因为SA的核心并非日志处理与分析，花了更多力气去搞全包捕获与分析吧。而且，RSA将很多SIEM/SOC相关的高级功能都分担到其他产品中去了。

还有一个大退步的厂商是NetIQ，我觉得主要原因就是被反复并购，折腾，从NetIQ自己的SIEM，到后来资本方被塞进来的Novell Sentinel，到现在又被塞进Micro Focus套件中。我估计他们的研发都疲惫了吧，客户也晕了。NetIQ做的企业级IT软件也够全的了，但总是到不了更高的境界。

在SIEM市场方面，Gartner表示，2014年达到16.9亿美元，比2013年的15亿美元增长了12.4%，Gartner用“强劲”（Strong）来形容SIEM市场规模的增长。

Gartner认为SIEM的市场驱动力还是威胁管理与合规管理，技术发展方向也跟2014年时提及的基本相同，在威胁情报整合方面更加突出一些，包括其中一些厂商跟自家的威胁情报内容进行整合。

在大数据技术应用这块，IBM，HP和RSA正在将他们的SIEM产品与自己的大数据技术进行整合，而McAfee和Splunk则与第三方的大数据技术进行整合。

最后，来看看SIEM市场的描述性定义。今年，Gartner稍微调整了这段话语（已经维持了3年了）。这句话现在是这么写的：

The security information and event management (SIEM) market is defined by the customer's  need to apply security analytics to event data in real time for the early detection of targeted attacks and data breaches, and to collect, store, analyze and report on log data for incident response, forensics and regulatory compliance.

而在此前三年，都是这样写的：

The security information and event management (SIEM) market is defined by the customer's need to analyze security event data in real time for internal and external threat management, and to collect, store, analyze and report on log data for incident response, forensics and regulatory compliance.

不同之处在于：安全分析（Security Analytics）这个概念很火，SIEM要用到安全分析来提升自己，而APT和信息泄漏问题很严重，必须将它们作为SIEM的价值取向，比之前的“内部和外部威胁”的提法更具体。

当然，SIEM本质并未变化，就是措辞有些变化，值得关注一下。

【参考】

Gartner：2014年SIEM（安全信息与事件管理）市场分析

Gartner：2013年SIEM市场分析（MQ）

Gartner：2012年SIEM（安全信息与事件管理）市场分析报告

Gartner发布2011年SIEM市场分析报告（幻方图）

评Gartner2010年安全信息和事件管理（SIEM）分析报告

Gartner公司对2009年安全信息和事件管理（SIEM）的分析报告