本文來自安全牛。

　　SIEM（安全信息事件管理）系統的應用已經超過20年。在此期間，SIEM由最初的邊界安全事件關聯工具逐漸發展成為企業網絡安全治理、風險管理以及合規建設的重要支撐平臺。今天，在很多企業中，SIEM已經成為安全團隊日常處理威脅事件的優先選項，不僅可以從IT基礎架構中的海量信息資源中收集和分析各種攻擊活動，同時也是實現安全自動化、DevSecOps、態勢感知等安全管理和運營技術的基礎。

　　昨天：從日志聚合到安全運營

　　第一代的SIEM產品誕生于本世紀初，起初是被作為一種日志聚合的工具，只是在一些大型頭部企業使用，用以解決數據孤島的問題，同時還可用于歷史數據保留和法律合規遵從。最早期的SIEM代表性廠商包括ArcSigh（現隸屬MicroFocus）和QRadar（現隸屬IBM）等公司。

　　在第一代SIEM產品中，使用了非?；A的關聯引擎，建立非常簡單的關聯規則，例如“如果看到X、Y和Z，就應該在工單系統中打開工單，并向安全團隊發送警報“。由于第一代SIEM產品針對非結構化數據的本地處理能力非常薄弱，可能需要花很長的時間來查詢數據，并只能獲得事件原因的初步分析。鑒于技術原因，這個時期的SIEM可用性非常糟糕，甚至給一些客戶留下了花錢買罪受的感受。

　　隨著時間的推移，企業的數字化轉型快速發展，各種安全設備的運營數據開始激增，最早期的SIEM產品逐漸跟不上數據產生的步伐，因為其所使用的結構化數據庫無法與時俱進，而編寫新的解析器需要很長的開發周期。

　　當Splunk公司進入SIEM市場后，迅速改變了第一代SIEM廠商的游戲規則。該公司研發了一種靈活而強大的數據存儲和搜索引擎，通過索引技術，可以搜索各種類型的原始數據（結構化數據和非結構化數據），并迅速將數據轉換成可搜索的事件。這種技術是一項突破，因為它使SIEM工具更容易獲取、搜索、存儲和顯示所有不斷增加的數據，并獲得洞察分析能力。在2012年，Splunk首次作為領導者出現在Gartner發布的SIEM魔力象限中，并在此后的很多年占據著市場領導者位置。

　　根據研究機構SANS在2019年研究報告數據顯示，截至2018年底，有超過70％的大型企業開始依賴SIEM系統來進行數據關聯、安全分析和運營。同時，很多企業的安全運營中心團隊圍繞SIEM配備了用于威脅檢測/響應、調查/查詢、威脅情報分析以及流程自動化/編排的其他工具。SIEM正式發展成為企業安全運營的發動機。

　　今天：應用成本不斷增加

　　當以零日攻擊為代表的高級威脅大量出現后，SIEM行業的競爭格局再一次開始改變。傳統SIEM系統由于存在難以實現精準告警、漏報較為嚴重等問題，已不是企業安全運營管理的理想選擇。作為企業內部安全日志的匯聚器，SIEM的基本功能或許永遠不會過時，因為本地安全日志始終是最具價值的威脅情報來源。但安全團隊需要盡快升級優化SIEM，配合更多的威脅檢測/響應、調查/查詢、威脅情報分析以及流程自動化/編排等先進安全能力，以實現更加高效、準確的安全威脅檢測。

　　為了跟上威脅發展的步伐，現代的SIEM產品需要更深入地了解所存儲的數據，并運用更多的網絡智能技術來應對挑戰，用戶和實體行為分析（UEBA）和機器學習技術應運而生。各大安全廠商都積極嘗試將新一代SIEM產品與UEBA、安全編排、自動化和響應(SOAR)和擴展檢測和響應(XDR)結合起來，以實現更加智能化的威脅檢測和響應能力。

　　在Gartner最新發布的2022安全運營技術成熟度曲線中，對主流的安全運營技術進行了分析。報告認為，SIEM技術已步入穩步發展并趨進成熟的階段，這個分析也正符合市場的現狀，很多企業在安全運營中已把SIEM作為主要實現平臺。

　　從理論上講，更多的數據可以提供更好的洞察力，但這也容易錯過一些嚴重的安全威脅，而且還會產生較多誤報。一旦重要報警與大量誤報信息同時出現時，就會導致重要報警數據淹沒在海量的誤報及非重要報警中，無法立即響應真實報警。

　　由于總體安全運營數據爆炸式增長，導致SIEM應用成本快速增長，每年在SIEM方案升級上的投入讓企業難以承受。為了控制應用成本，許多企業的安全團隊必須做出艱難的決定，決定他們實際將多少（以及哪些類型的）數據提取到SIEM中進行分析，其余的數據只能存儲在沒有處理能力的系統中，無法及時得到處理和分析，這會帶來巨大的安全風險。

　　鑒于SIEM技術目前的應用成本挑戰，企業組織需要根據自身的需求，選用更好、更具成本效益的技術解決方案。服務化的SIEM方案可以實現高度智能化的分析和檢測，同時價格也更加合理、透明，這對于很多中小企業、初創公司和非營利組織來說，是一種比較合適的選擇。

　　明天：SIEM的未來在云端

　　根據Gartner的研究數據，全球SIEM產品市場已從從2020年的34.1億美元增長到了2021年的41億美元，取得了20%的增長率。SIEM市場發展的主要驅動因素仍然是檢測、響應、攻擊面管理以及合規。未來，企業希望未來的SIEM產品能夠在寬度和深度兩個方面同時滿足其數字化業務發展和安全防護的需要。

　　新一代SIEM產品繼續不斷吸納新的功能，包括SOAR、UEBA、TIP、自服務安全分析、持續威脅內容創建、Incident管理等，這需求SIEM產品進一步轉變架構策略以適應客戶需求，而最終指向就是云化CloudSIEM（包括云原生化和云托管）。云技術不僅可以讓SIEM整合更多威脅檢測引擎，實現更快的運營數據分析，還可以有效降低企業的應用成本。

　　Gartner分析師認為，CloudSIEM將會成為未來SIEM產品發展的首要形態，這也意味著SIEM的架構發生了重大變化。云化的好處不僅是順應云時代和遠程辦公時代的需要，更重要的是為了降低SIEM自身的部署和維護的負擔，將重點投入到基于SIEM的安全運行上。CloudSIEM對中小型企業來說是非常理想的選擇。

　　此外，對于不想在SIEM上投入太多資源的企業來說，由托管安全服務提供商（MSSP）來運營SIEM也是一個很好的選擇。但是首先需要清楚的了解角色和責任?？偟膩碚f，未來的云SIEM提供商更多的職責是初期建設部署和優化完善SIEM產品的功能更新；MSSP的職責主要是中后期的威脅場景分析應用及事件跟蹤處置，而企業用戶只需要提出應用需求和確認決策。