寫在開頭

終於，鐵人賽來到收官階段，
剛好落在第 25 天，明天就是接連五天的重點回顧，
所以嚴格來說，集大成的 SIEM 解決方案的新的未來趨勢，
就是在今天的鐵人文章是來到最後一篇了。

我們在**「寫在啟程」**的系列篇，
談了日誌收容、關聯分析與事件回應；
而在「寫在當下」系列篇，
我們談了部署、SOC/MSS/MDR的關聯、
上市櫃公司資通安指引與零信任的三重奏。

而在「寫在返航」，
我們開始聚焦在市場主流的 SIEM 的特色，
包含核心功能、市調機構評比以及今天的未來趨勢梳理。

接著，今天我們就要從全系列的收官，
言簡意賅的來快速的看看 SIEM 主流與未來趨勢。

延伸閱讀：https://ithelp.ithome.com.tw/articles/10287075

主流核心的 SIEM

SIEM 作為 SOC 中心，
替資訊安全維運中心提供整體合規、告警與回應。
透過整合企業組織所有的日誌事件，
包含來自網路、端點、身份、應用程式與其他安全日誌，
提供快速事件關連分析、威脅調查與事件回應，
輔以提供各種案例庫(Use Cases)的威脅偵測工具，
來讓資安專業人員能在專業、集中、單一平台，
來因處資訊安全作業生命週期裡的資安事件。

延伸閱讀：https://ithelp.ithome.com.tw/articles/10287590

從 SEM/SIM 走向 SIEM

SIEM 領域是非常成熟的資安市場，
從早期的 SEM 與 SIM 開始至今已經 20 多年，
直到約莫 2015 年開始以 SIEM 的形式穩定下來，
開始逐漸發展成穩定的市場區塊(Segment)，
各家主流的解決方案也普遍提供類似的功能，
並且在各個細節功能上各有千秋。

延伸閱讀：https://ithelp.ithome.com.tw/articles/10287372

用戶行為分析(UBA)

在 2010-2020 期間，大數據與機器學習，
在這十年間席捲了台灣的各個領域應用，
包括在資訊安全也開始談及以「機器學習」，
來實現使用者用戶行為分析 (UBA)，
透過機器學習演算法計算用戶風險基準，
來提供相關離峰值或異常情形的判斷依據，
開始針對「內部威脅」進行威脅防禦與著墨。

而隨著企業上雲趨勢成為現今主流，
在混合辦公、雲地混合的應用環境下，
了解每個用戶與其代表的身份帳號，
成為現在企業做資訊安全的下一個戰場之所在。

獨立或整合 SOAR 功能

在 SIEM 市場領域另外最關切的就是 SOAR 功能，
關於在偵測到事件威脅時，能否有自動化工具來整合回應，
成為目前比較新的趨勢在談及的應用。
SIEM 主流是以支援上百家各家應用日誌識別與收集為主，
而資安維運 Security Operation 則牽涉更多、更緊密，
與周邊第三方解決方案的深度整合與應用，
更關鍵的是能否提供彈性、動態的劇本或 Script，
來適應每一家企業組織的用例與特性，亦是至關重要的。

延伸閱讀：https://ithelp.ithome.com.tw/articles/10289867

威脅情資(Threat Intelligence)

SIEM 平台普遍都能作為一個情資收集的載體，
以標準格式與通訊協定接收威脅情資，
對於在日誌收集與即時關聯分析時，
威脅調查人員可以直接在平台上，
得知該 IP/URL/C2 等在外部世界的概況，
進而可以在時效內更快的進行整體威脅事態的掌握。
故 SIEM 作為 TIP (Threat Intelligence Platform)，
亦是作為 SOC 中能否發揮內、外情勢整合的核心角色。

地端->雲端運用

排名前面數家的 SIEM 解決方案，
均不同程度的提出對於在雲環境的使用方案，
而包含 Gartner / Forrester，
也都將供應商在雲環境的技術與支援能力，
進行高權重的評分。
在在均顯示出從原本傳統地端應用模式，
如何能夠結合雲端的彈性優勢，
成為目前各家業者在競逐的一塊市場。
因此無論是 SIEM in Cloud 的 SaaS，
還是 SIEM on Cloud 基於託管形式的應用，
整合雲端彈性、靈活數據儲存，成為目前市場競逐的議題。

延伸閱讀：

1. https://ithelp.ithome.com.tw/articles/10290250
2. https://ithelp.ithome.com.tw/articles/10290945

授權與定價策略

在現在主流的授權定價機制，
有訂閱制 (Subscription) 與買斷制(Perpetual)，
以及依據不同 SIEM 功能進行授權定價的模式，
像是之前介紹過的基於日誌攝取量的計價模式，
或是基於每秒多少事件數的 (EPS) 做計價，
都會因應不同的企業環境特性，需要妥善規劃適合的買法。

因此當 SIEM 市場環境成熟發展之際，
在授權成本、雲地整合應用以及成熟部署經驗等面向上，
成為買方市場在選擇 SIEM 解決方案時的幾項關鍵指標。

且在核心 SIEM 的計價與功能之外，
UBA / SOAR / 威脅情資等額外強化 SIEM 應運的關鍵功能，
也會是企業客氣關注在目前各解決供應商供給的解決方案內，
是否需要額外的授權或是成本？以及它能夠替組織帶來多少的效益？
對於企業用戶而言，如何跟選擇不同的解決方案，

延伸閱讀：https://ithelp.ithome.com.tw/articles/10288360

未來的 SIEM

傳統 SIEM 的短板是偵測與回應的時效，
以及在端點位置的威脅可視化，
隨著市場眾多廠家均標榜 XDR 解決方案，
無論各家核心方案為何，均有 EDR 的解決方案在那，
核心概念都是希望透過中控核心的應用，如 SIEM/FW 等，
搭配第一線的 EDR 來強化端點位置的防禦與保護。

故在未來的 SIEM 除了功能、架構、雲地的考量外，
更多的 XDR 的策略或平台解決方案，
亦會是接下來的 5 年會是更方興未艾的發展趨勢，
讓我們一起繼續關注這個成熟的市場，
還會在未來的時間裡如何轉變。

明日預告

很高興能夠在 25 天的篇幅裡，
每天約莫 2500 字上下的文章，
把自己所學、所知的 SIEM 領域，
試著用更多維度的面向來跟邦友介紹，
這對我來說是個很棒的挑戰與練習。

明天開始，就是「寫在結束」系列的開始，

1. SIEM 基本介紹精華回顧
2. SIEM 核心功能精華回顧
3. SIEM 整合應用精華回顧
4. SIEM 市場產品精華回顧
5. 終章：30 天鐵人賽感動與誌謝

除了在各篇章談過的，以及陸陸續續小結的內容，
我也會在這五篇去補充值得再多寫一些的內容，
期待下一週的一到五，每天都有精彩好文分享給你/妳。

我們下週一開始啟程返航！