在Gartner 2020年度的SIEM魔力象限出來(lái)之前,,我們先看看Forrester最新的安全分析平臺(tái)(Security Analytics Platform)的廠商評(píng)估報(bào)告(Forrester Wave),發(fā)表于2020年12月1日,。Forrester的SAP細(xì)分市場(chǎng)大致對(duì)應(yīng)于Gartner宇宙的SIEM細(xì)分市場(chǎng),。
上一次Forrester發(fā)布SAP的廠商評(píng)估報(bào)告還是在2018年,時(shí)隔兩年多,變化還是比較大的,,因?yàn)樽罱鼛啄暾礢IEM/SOC/SAP領(lǐng)域翻天覆地的時(shí)代,。
Forrester在此前的另一份報(bào)告《Now Tech: Security Analytics Platforms, Q3 2020》中給出了最新的SAP定義:
SAP構(gòu)建在大數(shù)據(jù)基礎(chǔ)設(shè)施之上,融合來(lái)自網(wǎng)絡(luò),、身份,、端點(diǎn)、應(yīng)用和其它安全相關(guān)數(shù)據(jù)源的日志,,產(chǎn)生高保真的行為告警,,并促成快速的安全事件分析、調(diào)查與響應(yīng),。
回顧一下Forrester首次定義SAP的時(shí)候,,是在《Counteract Cyberattacks With Security Analytics》報(bào)告中:
SAP是一個(gè)構(gòu)建在大數(shù)據(jù)架構(gòu)之上的平臺(tái),它融合了來(lái)自包括SIM,,(特定)安全解決方案,,網(wǎng)絡(luò)流數(shù)據(jù),外部威脅情報(bào)和各種終端及應(yīng)用的日志數(shù)據(jù),、關(guān)聯(lián)數(shù)據(jù)和報(bào)表數(shù)據(jù),。SAP使用這些信息和機(jī)器學(xué)習(xí)技術(shù)為(用戶)提供實(shí)時(shí)監(jiān)測(cè),促使(用戶)更快速地事件檢測(cè),、分析與響應(yīng),。
對(duì)比一下,定義大致保持一致,,并且現(xiàn)在的定義更加簡(jiǎn)潔,。
注意:SAP不等于SA,SA(安全分析)是一種技術(shù),,不是一個(gè)細(xì)分產(chǎn)品市場(chǎng),!
Forrester認(rèn)為當(dāng)前SAP的三個(gè)核心用途是:
通過(guò)更好的網(wǎng)絡(luò)可見性識(shí)別位置威脅
借助自動(dòng)化告警分診和響應(yīng)推薦來(lái)支撐SOC分析師的工作
實(shí)現(xiàn)整個(gè)環(huán)境的編排化響應(yīng)
顯然,F(xiàn)orrester對(duì)SAP的定義外延比經(jīng)典的SIEM更大,,稱作下一代的SIEM,,更貼近我們現(xiàn)今對(duì)安管平臺(tái)(或者SOC平臺(tái))的認(rèn)知。當(dāng)然,,現(xiàn)在Gartner在分析SIEM市場(chǎng)的時(shí)候也早已不在局限于經(jīng)典SIEM范圍了,,大家對(duì)市場(chǎng)的認(rèn)識(shí)都在趨同。ESG的SOAPA也差不多是一個(gè)意思,。
在Forrester看來(lái),,SOAR是SAP的核心能力,甚至以此來(lái)區(qū)分不同類型的SAP,。此外,,F(xiàn)orrester直接使用Gartner宇宙的SOAR術(shù)語(yǔ),,以替代原來(lái)的SAO。
小結(jié)一下,,用我們通俗可以理解的話來(lái)描述,,SAP = 大數(shù)據(jù) + SIEM + SOAR + XDR + UEBA。
回到報(bào)告,,2020年的Forrester Wave象限圖如下:
對(duì)比一下2018年的Wave象限圖:
可以看到,,這個(gè)變化還是比較大的。
首先,,AlienVault已經(jīng)被AT&T收購(gòu),McAfee,、Fortinet,、Huntsman也沒有上榜,而FireEye上榜了,。
其次,,微軟憑借Azure Sentinel上榜,且位置突出,,表明Forrester對(duì)Cloud SIEM(該術(shù)語(yǔ)來(lái)自Gartner)市場(chǎng)的重視,。而Gartner目前還沒有將Cloud SIEM納入SIEM MQ考察范圍。
最后,,也是最重要的,,維持入榜的廠商位置都發(fā)生了較大變化。IBM和Splunk兩強(qiáng)領(lǐng)跑,,LogRhythm退居二線,,Securonix和Exabeam憑借UEBA(Forrester稱之為SUBA)技術(shù)異軍突起。
進(jìn)一步來(lái)看,,IBM和Splunk十分貼合Forrester對(duì)SAP的看法(也不好說(shuō)是誰(shuí)影響了誰(shuí)),,都是SIEM+SOAR的戰(zhàn)略,都有云端SAP產(chǎn)品和服務(wù),,市場(chǎng)表現(xiàn)也很好,。
LogRhythm雖也有SOAR和SaaS版,都這些能力表現(xiàn)都差強(qiáng)人意,。不過(guò)這個(gè)報(bào)告沒來(lái)及講到的是,,就在2021年1月13日,LogRhythm宣布收購(gòu)云分析平臺(tái)廠商MistNet,,預(yù)計(jì)將重組其圍繞看家的SIEM之上的XDR和Cloud SIEM技術(shù)/產(chǎn)品/市場(chǎng)戰(zhàn)略,。
Micro Focus的Arcsight在經(jīng)歷了數(shù)年的大滑坡后,也稍稍回血,,先是2019年收購(gòu)了Interset獲得了UEBA技術(shù),,然后在2020年7月收購(gòu)了ATAR Labs獲得了SOAR技術(shù),,總算是面子上追了回來(lái),但整合的如何尚未可知,。而且Forrester認(rèn)為Arcsight擁抱云相較于其它幾個(gè)大廠而言太晚了點(diǎn),。
順帶提一下,Micro Focus旗下的Arcsight退步是有目共睹,,但Forrester還算手下留情,,給它放到的第二檔,而Gartner則狠心將其放到了2019年度MQ的第四檔,。
Forrester對(duì)SAP的主要觀點(diǎn)
Forrester認(rèn)為,,SAP的未來(lái)在云端,因?yàn)橛脩舻墓ぷ髫?fù)載在向云端遷移,,而且云端具有存儲(chǔ)極易擴(kuò)容,、輕松上規(guī)模、穩(wěn)定可靠等特點(diǎn),,另外云端SAP的軟件開發(fā)與發(fā)布更高效,。從實(shí)際市場(chǎng)來(lái)看,F(xiàn)orrester發(fā)現(xiàn)主流的SAP廠商都開始提供Cloud SIEM,。
微軟的Azure Sentinel可謂云原生SAP,,走到了GCP Chronicle前面。
IBM憑借QRadar和Resilient上榜,,同時(shí)Forrester也提到了IBM的CloudPak for Security Platform,,作為其向云轉(zhuǎn)戰(zhàn)的標(biāo)志。
Spunk憑借ES和Phantom上榜,,同時(shí)其面向云的Misson Control受到關(guān)注,。
Securonix也推出了基于SaaS的多租戶版SAP。
Forrester給選擇SAP的客戶提了4點(diǎn)建議,,也就是SAP應(yīng)具備的4個(gè)關(guān)鍵能力:
1)客戶定制化能力,,特指分析內(nèi)容,分析場(chǎng)景和分析模型的自定義,;
2)分析與自動(dòng)化響應(yīng)一體化,,不僅能夠發(fā)現(xiàn)問(wèn)題,還能幫助解決問(wèn)題,;
3)把MITRE的ATT&CK框架作為安全運(yùn)行的一部分,,貫穿檢測(cè)、調(diào)查和獵捕的各個(gè)環(huán)節(jié),;
4)具備XDR的愿景,,能夠?qū)DR很好的整合到安全分析中來(lái)。
Forrester在評(píng)估SAP廠商技術(shù)能力的時(shí)候,,考量的維度包括:部署模式和數(shù)據(jù)架構(gòu),、可見性,、關(guān)聯(lián)分析能力、威脅檢測(cè)能力,、ATT&CK映射,、定制化檢測(cè)能力、安全編排能力,、合規(guī)性,、平臺(tái)使用體驗(yàn)、分析能力,、風(fēng)險(xiǎn)評(píng)分與優(yōu)先級(jí)劃分能力,。