寫在開頭

我們昨天把 SIEM 工具特色做了整理，
把日誌、關聯分析的一些特點摘要出來，
這些都是我個人經驗上的總結，
但其實市調機構包含 Gartner、Forrester，
都有每年在針對 SIEM 這個領域評比魔力象限，
而除了大家常看到的四象限圖，
其實評比內都還是有對於各家領導品牌的描述，
以及它的相關優劣得失。

今天的鐵人文章，
就是要來看看 Gartner SIEM 的評比，
裡面有什麼值得我們參考的地方。

關於 Gartner

相信非常多邦友都非常熟悉 Gartner，
各個網路、資安的解決方案領域，
都有各自領域的專業魔力象限評比。
包含很多企業組織與客戶，
也都非常看重此份報告的評比結果。

因此在 SIEM 的解決方案裡，
也有屬於它的評比，即是：
Gartner Magic Quadrant for Security Information and Event Management

摘錄 Gartner SIEM 的簡介：

Security and risk management leaders increasingly want SIEM solutions with attack detection, investigation, response and compliance capabilities, but must balance this desire with an understanding of the resources needed to run such solutions. This report will help them identify a suitable vendor.

除了 SIEM 本身的功能需持續精進外，
也要考量它在實現時的技術資源與成本，
所以功能有效性跟成本資源，也會是在評比考量的一環。

參考來源：https://www.gartner.com/en/documents/4003080

Gartner SIEM 魔力象限

Gartner 魔力象限裡我們區分四個象限：
「Leaders」、「Visionaries」、「Niche Player」跟「Challengers」，

每個角色的區分有其相關定義，但基本上我們可以理解：

• Leaders: 能有效應對市場變動需求且能動態做出調整的領導廠商
• Visinaries：知道市場願景與方向但行動執行上沒有到那麼好的廠商
• Challengers：在大範圍的客戶獲得成功但在市場方向沒有太契合或主導
• Niche Player：在小範圍客戶獲得成功但比起其他競爭廠商未有明顯優勢

所以基本上在每一年的各解決方案的評比就會落在相應的劃分。

Gartner SIEM 2022

以下節錄幾家在台灣市場熱門的 SIEM 的品牌，
在 2022 年的 Gartner 報告的評比重點：

IBM
連續 12 年獲選領導象限品牌，
表達出市場、客戶與合作夥伴對此解決方案的認可。

Splunk
同為領導品牌的常勝軍，
技術與架構彈性的優勢，
讓它成為臺灣非常流行的解決方案。

Exabeam
位於最上方的執行力的領導品牌，
長期、容易搜索的日誌儲存與 ML 用戶行為分析，
是其解決方案的特點。

Securonix
位於最右邊的願景領導品牌，
專注 MSSP 策略與資料隱私控制與威脅警報，
是市場喜歡與關注的特點。

Microsoft
位於 Visionaries 位置，
透過整合其 Azure 生態系的優勢，
是目前市場在雲端安全上受注目的焦點。

如何閱讀魔力象限報告

通常報告內都會揭露在世界上該解決方案的主要玩家，
然後簡介其解決方案背景、特色以及著墨的點，
再以 Strengths 跟 Cautions 兩個區塊，
分別介紹各解決方案的優勢點與應注意的地方，
可以在很快的時間內，了解各方案的優勢概況。

再者報告也會整理在評比當中，
描述參考哪些條件、優勢與衡量點來進行評比

例如考量標準即有：

• 供應標準：供應商產品必須通過軟體、設備或 SaaS 模式向最終客戶提供安全信息管理 (SIM) 和安全事件管理 (SEM) 功能。
• 技術標準：供應商的 SIEM 產品必須提供一系列關聯分析，從基本關聯到高級分析（例如 UEBA 的機器學習），通過本機功能或通過與 SIEM 供應商銷售的附加產品的緊密整合。
• 時間標準：例如自 2020 年 11 月 1 日起，SIEM 的各項特性、功能和附加解決方案必須要能可被普遍使用。
• 營收標準：例如在 2020 年 9 月 30 日之前的 12 個月內，供應商的 SIEM 收入（產品/SaaS 許可和維護收入，不包括培訓、專業和託管服務的收入）必須超過 5000 萬美元，或者擁有 250 個最終用戶生產客戶。
• 市場標準：在 2019 年 10 月 1 日至 2020 年 9 月 30 日期間，供應商必須從其總部所在地區以外的地區獲得 15% 的 SIEM 產品或是 SaaS 收入，並且在至少兩個地區的每個地區至少擁有 15 個最終客戶。

小結

由於 Gartner 是基於全世界範圍的評比，
故落到每個市場區隔或地域時，
還會跟在地業務活動、技術支持跟市場偏好有關，
不見得每個市場主流的方案會相同。

但另外一個觀察點是，
由於各解決方案是經歷過各種標準驗證，
包含供應、技術、時間、營收與市場標準，
某個程度我們也能夠以此來評估一個解決方案未來性，
包含該產品是不是持續有產品路線圖在更新？(Roadmap)
或是產品的強勢或優勢程度，是不是讓它的成為競爭性高的產品？
這些都是可以在某些維度與方向上，
我們可以在這個年度報告中窺探一二。

當然，選購 SIEM 解決方案，
市調機構評比只是外部聲量、評比的一環，
具體還是得進一步評估企業組織的真實需求，
以及哪個方案的功能、技術支援，
能夠長期來滿足與解決資安需求，
所以沒有所謂最好的方案，只有合不合適的方案。

明日預告

今天我們介紹非常熱門的 Gartner Magic Quadrant，
明天我們也要來看看另一家也是非常知名的市調機構：Forrester，
在它們的分類上關於「Security Analytics Platforms」，
他們是怎麼來做評比與分類的。

我們繼續明天空中相會。