2021年3月24日，中国信息通信研究院（以下简称“中国信通院”）安全研究所联合FreeBuf咨询，发布了《国内网络安全信息与事件管理类产品研究与测试报告（2021年）》（以下简称“报告”）。

该报告主要包括中国网络安全信息与事件管理（SIEM/SOC）类产品技术现状分析、应用现状分析、测评情况介绍、测评结果分析等内容，旨在更好地满足电信和互联网等行业用户在5G网络、云计算、物联网等新型业务场景下的实际需要，为其在网络安全产品选型过程中提供技术能力参考。

报告前言

为了更好地满足基础电信和互联网、金融、能源和医疗等行业用户在5G 网络、云计算、物联网等新型业务场景下的实际需要，为其在网络安全产品能力选型中提供技术参考，中国信通院安全研究所联合FreeBuf 咨询共同完成了此次SIEM/SOC 类产品调研和测试工作。

本次测试主要是针对当前行业内主流企业的产品进行技术能力测试，测试内容和角度覆盖全面且广泛，测试内容包括产品功能、性能以及自身安全测试，覆盖数十种技术能力指标测试项。本次测试是对各企业的SIEM/SOC 类产品的“能力拔高测试”，以体现该产品在某一个技术能力领域的硬核实力。测试方案内容不仅基于现有相关标准，并且依据Gartner 对SIEM/SOC 的能力定义以及综合国内各安全企业最佳实践。到报名截止日期2020年10月23日为止，共有20款产品报名，符合测试要求的14款产品参与此次验证评估。

本报告由中国信通院安全研究所对国内主流SIEM/SOC类产品进行基本面测试评估，并输出整体测试、分析结果与整体报告。由FreeBuf咨询通过现场走访、资料整合及问卷调查的形式，对国内外近百家企业的使用情况进行对比分析，并深入总结国内SIEM/SOC 类产品的基本现状，并尝试对其发展趋势进行评估和预测，为企业安全建设提供有效参考，提升安全运营与响应能力。

报告目录

一、安全运营的演变与发展

（一）安全运营的定义

（二）安全运营的发展

（三）安全运营的技术实践

二、安全信息实践管理技术发展现状

（一）技术早期发展

（二）基础核心能力

三、国内SIEM/SOC 类产品应用现状

（一） 国内企业安全运营态势画像

1.安全检测类产品部署现状

2.安全警报数量现状

3.企业安全运营&威胁发现能力现状

（二） 国内安全信息和事件管理类产品应用现状

1.安全信息和事件管理类产品国内部署现状

2.安全信息和事件管理类产品使用效果评价

3.企业对SIEM 集成安全能力的期望

4.企业对SIEM 产品期望改进的能力

四、SIEM/SOC 类产品测试情况综述

（一）测试基本情况

（二）测试环境介绍

（三）测试方法说明

（四）测试对象范围

（五）测试内容简介

五、SIEM/SOC 类产品测试结果总体分析

（一）日志采集告警与基础分析支持较好

（二）自动化编排能力有待深化

（三）安全合规审计能力亟需加强

（四）系统自身安全管理功能完善

（五）Web 和业务安全漏洞均有存在

六、SIEM/SOC 类产品威胁识别能力分析

（一）各类网络攻击发现和分析的能力

（二）多步骤攻击发现和关联分析的能力

七、SIEM/SOC 类产品态势感知能力分析

（一）攻击和威胁态势感知能力分析

（二）资产和运行态势感知能力分析

（三）用户实体画像和UEBA 能力分析

八、SIEM/SOC 类产品趋势展望

（一）“智能SIEM”将引领新一代SIEM 能力发展

1.智能化：AI+自动化驱动

2.主动化：威胁感知与主动防御

3.集成化：多元安全能力高效联动

4.MITRE ATT&CK 框架助推安全运营能力提升

（二）多元安全能力组合成新趋势

（三）AI&自动化驱动智能化转型

（四）云端部署能力持续扩展

（五）需求落地向业务导向型转变

（六）多行业标准化交付能力待提升

九、SIEM/SOC 类产品能力分组

（一）综合技术能力组（8 家）

（二）日志采集识别与告警能力组（8 家）

（三）威胁情报采集与安全分析能力（8 家）

（四）态势感知能力（8 家）

（五）ATT&CK 攻击链溯源能力（8 家）

（六）安全治理能力（8 家）

（七）安全编排和全过程自动化能力（SOAR）（8 家）

（八）用户和实体行为分析能力（UEBA）（8 家）

版权声明：本报告版权属于中国信息通信研究院及上海斗象科技有限公司咨询，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：中国信息通信研究院及上海斗象科技有限公司”。违反上述声明者，本院将追究其相关法律责任。

点击左下“阅读原文”，下载报告。

校  审 | 陈  力、 珊  珊

编  辑 | 凌  霄

推荐阅读