2021 SIEM 必看趋势：如何选择安全分析提供商

Forrester Wave 的作者引用了《帝国反击战》的一句话来总结 SIEM 的发展方向：“你该留在这里，和我们一起在云端。”继续跟随“星战”的指引，我们还能在《魅影危机》中发现一些真理：“你阻止不了改变，就像你阻止不了太阳下山一样。”

在适应不断变化的威胁方面，安全分析始终是一贯的需求，今年也不例外。威胁检测、调查和响应比以往更加复杂。由于员工居家工作所处的是一个不断演变的威胁环境，企业正在逐渐将工作负载转移到云端。

因此，现代安全分析已不仅限于 SIEM，这其中还要包括 SOAR、用户和实体行为分析 (UEBA)，乃至扩展的检测和响应 (XDR)。

立足 2021年，作为买家的我们在购买时应考虑哪些趋势？来自《The Forrester Wave：2020 年第四季度的安全分析平台》的洞察力解读，云服务将会成为选择解决方案的关键并会为一系列的功能选择指明道路。

下载《The Forrester Wave™：2020 年第四季度的安全分析平台》报告 

面向云服务的 SIEM 网络安全

过去，大家一直将安全分析视为本地工具集。但近年来，软件即服务 (SaaS) 的 SIEM 安全工具表现出向上发展趋势。出现这样的局面都是应需求变化所致，即降低资本支出以转向基于运营支出的模型。此外，作为 SaaS 提供的 SIEM 工具还可缩短价值实现时间且更灵活、更易于扩展。

如今，多家供应商都在基础架构即服务（在 AWS/Azure 上运行）和容器产品中提供了云部署支持。这些解决方案的部署可以更灵活，提供更好的扩展性和可移植性。

Forrester 报告的作者表示，在 SaaS 或云托管模型下使用 SIEM“使供应商能够更快地向其客户推出新功能并减少这些系统的管理开销”。

快速灵活的云服务是 SIEM 买家在 2021年选择附加功能时要考虑的主要因素。

可定制性

对于企业而言，由供应商直接提供的检测内容和分析就足以应对需求。不过，采用高级用例的企业会在灵活性上有更高的要求。此外，高级用户需要能够创建定制分析。开放式分析和机器学习对于定制检测而言至关重要。

高级分析

2018 年，Gartner 预测 85% 的 UEBA 会成为更广泛的安全平台的一项功能。很多供应商支持行为分析，并通过网络和终端检测工具提供更多数据。两年后，随着威胁和威胁实施者的发展，我们会需要分层分析手段，例如：

• 关联，包括多个来源、威胁数据和开箱即用的检测用例。
• 机器学习，包括应用于用户、网络和资产的多种统计模型。
• 自动化，包括自动检测和响应工作流程以及针对恶意软件或网络钓鱼的自动响应。

MITRE ATT&CK

近年来，以攻击者操作方式的模型为基础，MITRE ATT&CK 框架已成为事实上的威胁检测框架。

团队需要具备将任务（包括可视性和检测，以及调查和响应）映射到框架的能力。这能够帮助他们见微知著，在攻击方面做到防范于未然。将活动性攻击和进行性攻击具象化能够为威胁猎捕者和响应者提供背景信息，帮助他们在研究威胁时以更快的速度和更自信的态度来采取行动。

XDR

XDR 支持多种威胁检测和响应。根据 Forrester Wave™ 的报告，终端检测和响应 (EDR) 与其他工具的分析相结合“即可[实现]高丰度遥测、快速调查和自动响应行动”。

去年年初，我们探讨了 SIEM 的过去、现在和未来。我们研究的趋势之一是在用户、设备、网络、应用和云端继续采用基于行为的分析。在此基础上，我们认为 SIEM 的未来是开放的，需要以工具无缝协同工作为途径，实现更具凝聚力的工作流。

立足 2021 年展望未来，我们很高兴看到业界正在朝着开放安全、标准协议以及跨多系统的读取收集努力，以奔向这一全新领域。借助 XDR，业界正走向建立更广泛、更紧密联系的方向。

SIEM 一直在发展

着眼于以往的安全分析发展程度并展望即将到来的变化，很明显，选择一个了解市场需求的合作伙伴是非常重要的。

IBM Security 已获得 2020 年第四季度 Forrester Wave™ 安全性分析领导者的殊荣，而且在现有产品类别中的得分最高。

立即前往 2021全新安全专区，掌握最新安全技术趋势

Forrester Wave 的版权归 Forrester Research, Inc. 所有。Forrester 和 Forrester Wave 是 Forrester Research, Inc. 的商标。Forrester Wave 是 Forrester 对市场拜访调研的图形化表示，使用详细的电子表格（包括公开评分、权重和备注等）绘制而成。Forrester 不对 Forrester Wave 中所述的任何供应商、产品或服务提供任何保证。信息基于最佳可用资源。观点反映的是当时的判断，可随时更改。

Jeremy Goldstein

Jeremy Goldstein 是 IBM QRadar、X-Force Exchange 和 App Exchange 的产品营销经理，负责推动 IBM 安全分析、威胁情报和合作伙伴应用生态系统的定位、消息传递和内容设计。