SIEM系统正成为一种动态的、不断演进的安全分析和操作架构的一部分。

安全信息和事件管理（SIEM）系统问世至今大概已有十年左右的光景。在此期间，SIEM由边界安全事件关联工具发展成为公司治理、风险和合规管理（GRC）平台，再发展成为安全分析系统。那些早期厂商已成为遥远的记忆，比如eSecurity、GuardedNet、Intellitactics和NetForensics。如今的SIEM市场现在由几家领导厂商称霸：LogRhythm、迈克菲（又叫Nitro Security）、惠普（又叫ArcSight）、IBM（又叫QRadar）和Splunk。

2016年安全信息和事件管理魔力象限（来自：Gartner）

当然，有一群大胆创新的后起之秀，它们认为SIEM是一种遗留技术。它们宣称，日志管理和事件关联已跟不上如今网络安全领域的步伐，因而你需要新的技术，比如人工智能、机器学习算法和神经网络，以便实时使用、处理和分析安全数据。

作为一名行业分析师，我应该疯狂地挥舞双臂，宣称“SIEM已死”，因为我所在行业的那些人往往这么干。不过很抱歉，我根本就不认为SIEM已死。相反，企业安全操作和分析要求迫使SIEM迅速合并到新的技术中，企业战略集团（ESG）称之为安全操作和分析平台架构（SOAPA）。

在SOAPA里面，类似SIEM的功能仍扮演重要角色，常常把分析数据聚合到一个共同资料库。但是不像过去，SIEM现在是SOAPA里面的几种安全工具之一，这些技术是为异步协作而设计的，那样安全分析员就能够迅速换用工具，实时找到数据，并且在需要时实时采取行动。

SOAPA是一种动态的架构，这意味着新的数据源和控制平台会随着时间的推移逐步添加进来。然而，我确实认为，如今的SOAPA是由SIEM（或类似的日志管理和搜索产品/服务）及以下部分共同构建而成的：

• 端点检测/响应工具（EDR）：安全分析员常常想要通过监控和研究主机行为来深入研究安全警报，所以EDR（即CarbonBlack、Countertack、CrowdStrike和Guidance Software等）是SOAPA的一个必要组件。

• 事件响应平台（IRP）：除了收集、处理和分析安全数据外，网络安全专业人员还想要确定警报的优先级，并尽快解决问题。这些要求带来了众多IRP，比如Hexadite、Phantom、Resilient Systems（IBM）、ServiceNow和Swimlane。

• 网络安全分析：SIEM的日志分析和EDR主机行为监控由SOAPA中的数据流和数据包分析相辅相成，提供它们的厂商包括Arbor Networks、Blue Coat/赛门铁克、思科（Lancope）和RSA。

• 用户行为分析（UBA）/机器学习算法：虽然这些工具在业界得到了过高的关注和炒作，但是毫无疑问：机器学习从今以后将内置到安全分析工具中，因而Bay Dynamics、Caspeda（Splunk）、Exabeam、Niara、Sqrrl和Varonis之类的厂商应该属于SOAPA的范畴。

• 安全漏洞扫描器和安全资产管理器：安全操作的一部分就是知道应该优先重视哪些警报。这些决策必须依赖于来自安全漏洞管理系统（即Qualys、Rapid7和Tanium）及监控系统状态和网络配置的其他工具（即RedSeal、Skybox和 Verodin等）的可靠数据。

• 反恶意软件沙盒：这种技术是另一个重要的关键点，有助于了解可能利用零日恶意软件的针对性攻击。来自FireEye、Fidelis和趋势科技的沙盒无疑是SOAPA的一部分。

• 威胁情报：企业组织想要将内部网络异常行为与恶意的“野外”活动进行比较，所以SOAPA扩展到了威胁情报源和平台，即BrightPoint（ServiceNow）、FireEye/iSight Partners、RecordedFuture、ThreatConnect和ThreatQuotient等。

除了这些技术本身外，再来说说关于SOAPA的另外几点想法：

1. 除了安全工具之间的数据交换外，下一大创新将是集中式SOAPA指挥和控制，以便分析和管理（即配置管理和策略管理等）安全基础设施。

2. 这个市场已经在往SOAPA的方向发展。IBM收购Resilient Systems（看中IRP）、Splunk收购Caspida（看中UBA）以及Elastic Search收购Prelert就是佐证。

3. 由于迈克菲独立于英特尔，预计它会投资于企业安全管理器（即Nitro）。除了旨在填补架构空白的收购外，迈克菲还会加快将SOAPA技术与其自己的工具和生态系统合作伙伴整合起来的步伐。

4. 考虑到SIEM在SOAPA中仍然扮演核心角色，某家厂商（冠群？Palo Alto？赛门铁克？趋势科技？）会收购LogRhythm。

5. 上述每一种必要技术可以在本地提供，也可以通过SaaS方案来提供。SOAPA必须很灵活，支持这些方案。

6. SOAPA必须是为庞大模式设计的，尤其是由于企业组织在加大使用云计算和物联网的力度。云分析或存储可能会成为这个架构的一部分。

7. 少数几家厂商能够提供自己的专有SOAPA解决方案，但是企业客户可能规避单一厂商的解决方案，同时向领先的厂商和生态系统合作伙伴寻求SOAPA。然而，小企业和中小公司可能会购买单一产品，或者向SaaS厂商购买。

云头条编译｜未经授权谢绝转载

相关阅读：

中高端IT圈人群，欢迎加入！