隨著云技術的普及、AI的崛起以及安全工具的深度融合，安全信息和事件管理(SIEM)系統正經歷著前所未有的變革。這一變革不僅改變了SIEM的基本功能，還推動了其在企業安全運營中的核心地位。

SIEM平臺已經遠遠超越了其基本的日志收集和關聯功能。

由于網絡威脅發展太快，無法手動干預，領先供應商已將AI和機器學習技術集成到其SIEM平臺中。

此外，現代SIEM平臺現在還融入了擴展檢測與響應(XDR)和安全編排、自動化與響應(SOAR)，實現了實時威脅檢測和自動修復。

SIEM已成為監控日志數據以發現異常和可疑事件的平臺，然后在基于異常行為和檢測規則觸發警報。

據分析機構IDC稱，“SIEM通常作為安全分析師的工作空間，用于調查與其他上下文(如資產信息、漏洞和威脅情報)相關聯的警報事件。IDC預計，未來SIEM還將成為安全運營中心(SOC)的響應中心，通過劇本自動處理許多事件。”

隨著企業云使用量持續增加，谷歌的云網絡安全預測顯示，SIEM產品將成為企業SOC(安全運營中心)的核心，攝入“從云日志到端點遙測的一切數據”。

市場情報公司Context的全球研究和業務發展總監喬·特納指出，更大的攻擊面和更復雜的攻擊正促使企業結合其他技術(包括XDR和SOAR)投資SIEM，作為關聯、檢測和修復威脅的平臺。因此，該公司報告稱，2024年SIEM市場增長了20%。

SIEM、XDR和SOAR的融合

SIEM與安全工具(如XDR和SOAR)的融合是推動市場增長的主要因素。

SIEM提供日志分析和廣泛可見性，XDR擴展了跨端點和云的檢測能力，而SOAR則編排響應。

當SIEM檢測到安全事件時，SOAR會通過XDR觸發自動響應操作——實時隔離受感染的端點、禁用受感染的用戶帳戶或阻止惡意流量。

通過將SIEM與XDR和SOAR融合，組織可以獲得一個統一的安全平臺，該平臺能整合數據、降低復雜性并提高響應時間，因為系統可以配置為自動遏制威脅，無需任何手動干預。

2024年，Context記錄到SIEM和XDR技術組合銷售的增長率高達580%(或增長超過六倍)。據這家市場情報機構稱，去年與SOAR和SIEM綁定在一起銷售的服務也增加了22%，增幅雖小但仍具有重要意義。

“SIEM++這一術語被用來指代SIEM的下一步發展，它旨在滿足安全運營中對自動化、AI和實時響應的當前需求。因此，SIEM與其他工具的組合使用有所增加。”Context的特納說道。

英國托管服務提供商Emerging T-Tech的總監喬治·麥肯納告訴記者，SIEM與XDR和SOAR的融合使企業能夠簡化運營、提高檢測效率并縮短平均解決時間。

“傳統SIEM在日志聚合和關聯方面雖然有效，但缺乏在當今威脅環境中必要的細粒度可見性和自動響應能力，”麥肯納解釋道。“XDR通過集成端點、網絡和云遙測，提供了潛在威脅的全面視圖，從而彌補了這一空白。”

麥肯納補充道：“然后，SOAR使事件響應工作流程實現自動化，加速了緩解和修復過程。”

基于云的SIEM興起

隨著組織尋求更具可擴展性和成本效益的平臺，向基于云的SIEM的轉變正在加速。

“云原生SIEM減少了運營開銷，并實現了安全、DevOps和平臺團隊之間更快的調查和協作——這對于現代安全運營至關重要，”云和安全監控公司Datadog的云SIEM高級產品營銷經理維拉·陳說道。

基于云的SIEM解決方案是即插即用的安全平臺，因此企業可以訂閱、通過API集成資產、使用SOAR自動化響應，并設置定制的檢測規則。

“現代基于云的SIEM超越了日志管理，”通訊和網絡安全提供商Exponential-e的網絡解決方案顧問穆罕默德·阿里告訴記者。“它是一個智能安全中心，內置SOAR功能，與基于云的XDR/EDR解決方案實現無縫API集成，并提供實時全球威脅情報。”

阿里補充道：“這意味著更敏銳的檢測能力和對高級網絡威脅更快、自動化的響應。”

基于云的SIEM消除了與傳統本地部署相關的昂貴硬件升級需求，提供了可擴展性和更快的響應時間，以及可能更具成本效益的按使用量付費定價模型。

“鑒于每天出現的大量新威脅，當前的SIEM無法有效應對不遵循現有模式的新興和復雜攻擊，”Palo Alto Networks英國和愛爾蘭地區的首席安全官斯科特·麥金農說道。“下一代SIEM使用AI和機器學習來減少誤報、幫助預測安全漏洞，并實現自動化威脅響應。”

據Context稱，2024年本地SIEM的成本上漲了116%，平均每個座位達到93美元。相比之下，去年基于云的SIEM成本下降了26%，至每個座位77美元。

“現在，云SIEM的初期成本已低于本地部署，且部署速度更快，”Context的特納解釋道。“這對于希望在有限預算下保護自己的中小型企業來說非常具有吸引力。”

然而，特納建議，由于云的高數據攝入成本，處理大量信息的大型企業可能繼續更適合采用本地或混合SIEM部署。

Context報告稱，2024年基于云的SIEM收入同比增長了60%。通過托管服務提供商(MSP)提供的基于SIEM的服務增長了六倍多，同期增長了550%。

“SIEM(或SIEMaaS)在MSP中的增長是由于一個非常現實的限制：許多企業由于預算限制無法聘請或留住內部安全團隊，”Context的特納說道。“這意味著投資于托管服務更具成本效益，并且無需理解和處理SIEM的復雜性。”

AI重塑SIEM格局

基于靜態規則的SIEM難以跟上當今復雜的網絡威脅，因此，AI驅動的SIEM平臺使用實時機器學習(ML)來分析大量安全數據，提高了其識別異常和傳統技術可能遺漏的未見過的攻擊技術的能力。

ML模型為用戶、資產和網絡流量建立基線行為，持續監控偏差以指示潛在威脅。當檢測到異常時，訓練好的模型會生成警報，從而實現更快的威脅檢測和響應。

“AI驅動的SIEM解決方案不僅檢測威脅，還自動化調查過程，將實時事件與全球威脅情報相關聯，”Exponential-e的阿里說道。“通過與SOAR和XDR/EDR平臺集成，可以觸發自動響應或將事件升級給安全分析師以采取進一步行動。”

阿里補充道：“這顯著提高了事件響應效率，并支持了一個更高效、敏捷的安全運營中心，該中心始終領先攻擊者一步。”

AI驅動的SIEM可以優先處理關鍵警報、建議響應操作并自動化修復，從而減少噪音和疲勞。

“隨著對手利用AI，安全團隊必須采用AI驅動的自動化來保持領先。”Datadog的陳說道。

行業整合

隨著供應商尋求開發更全面、更強大的平臺，SIEM市場正在經歷快速整合。

“組織要求更少的工具、更深入的集成和無縫的端到端安全運營——能夠滿足這些需求的供應商將塑造網絡安全的未來。”Datadog的陳說道。

過去幾年顯著的SIEM并購活動包括：

• 2024年9月，Palo Alto Networks以5億美元收購IBM的QRadar SaaS業務

• 2024年7月，Exabeam與LogRhythm合并

• 2024年3月，Cisco以約280億美元收購Splunk

• 2022年，谷歌收購SOAR公司Siemplify，以集成到Google Chronicle SIEM中

• 2021年，IBM收購專注于AI驅動檢測的Reaqta，以增強QRadar在XDR市場的能力

“我們看到銷售獨立SIEM產品的供應商越來越少，而捆綁套件的數量有所增加。”Context的特納說道。

“傳統SIEM供應商正在收購云原生安全公司，以幫助客戶推動從本地到云解決方案的過渡，云解決方案具有更具競爭力的定價模型。”他補充道。