美国时间2012年5月24日，Gartner的Mark Nicolett发布了2012年度的SIEM市场的分析报告（MQ）——Magic Quadrant for Security Information and Event Management。

报告指出，在过去的一年，SIEM技术的市场需求依然强劲。纵观2011年，SIEM市场从9.87亿美元增加到了11亿美元，录得了15%的增长率。在北美，大型企业和小型企业在2011年度都有新的SIEM系统部署，客户尤其关注部署和运维支持的简化。一些大型企业也重新评估了他们之前的SIEM供应商，并进行了替换。在北美的SIEM应用场景更多的是集中在的安全本源的驱动力方面【Gartner已经将SIEM在这方面的用例进行了很多次的扩展】。相比之下，欧洲和亚太地区的SIEM增长动因主要集中在合规与威胁管理方面。

Gartner认为现在的SIEM市场已经完全成熟，并且竞争激烈，SIEM的产品功能也越发复杂，表现在每个厂商都能够提供多种SIEM的用例。

Gartner今年的分析中涵盖了20个厂商，其中8个是综合安全服务提供商。

Gartner当然也对去年的几个重要的SIEM并购案进行了回顾，包括：

1），并替代了原有的Tivoli中的SIEM；

2）；

3）（）NetIQ整合了Novell的安全监控技术相关的业务，包括Novell的Sentinel；

4）；

5）；

很多厂商都纷纷将其SIEM产品与其他相关的安全产品和解决方案进行整合，或者包装成MSS服务。

Gartner认为日志管理功能已经成为了SIEM中的标配功能。

Gartner认为SIEM解决方案应具备四方面的能力：

1）支持实时的事件收集和分析。收集的信息源包括主机、安全设备和网络设备，以及与之相关的上下文信息（例如用户、资产等）；

2）提供长周期的对事件和相关上下文信息的存储及分析能力；

3）为客户具体需求提供预定义的功能模板【顺便说一下，我很赞同Gartner的这个观点，并且我们最新的产品中已经有体现了。这其中蕴含了一个很重要的思想，就是SIEM使用与技术的分离，或者称之为SIEM的去专业化】；

4）尽可能地易于部署和维护。

有趣的是，Gartner还对SIEM部署的可伸缩性进行了分析。Nicolett认为：

1）一个小型的SIEM部署规模应该是：不到200个事件源，持续EPS在400左右，事件存储量在800GB左右；

2）一个下行的SIEM部署规模典型地应该是：超过750个事件源，持续EPS在5000左右，后台事件存储子在10TB上下。

3）中型部署规模介于上述两者之间。

4）而超大规模的部署可能会有25000EPS（持续），以及50TB的存储。

Gartner还分析了基于SIEM的MSS服务。

最后，让我们来看看Gartner最新的MQ矩阵吧。

我们可以对比一下去年的MQ，

很明显，ArcSight的竞争优势不再，IBM和McAfee直追而上，三家竞争白热化。除此之外，第一阵营只剩下NetIQ和LogRhythm，数量减了不少。Symantec终于理性地退出了第一阵营，而RSA的enVision也由于久未更新，并且由于查询性能饱受抱怨，而退出了第一阵营。此外，的地位继续上升。

今年，还有多家厂商下榜了。包括Quest【其产品偏应用性能监控，而不再重点关注于安全】、Tripwire【他收购了ActiveWorx之后做出来的Log Center更多是用于提升，而非看重SIEM本身】、netForensics【，也许以后会出现在MSSP的MQ吧】。

【参考】