Gartner 魔力象限：安全信息和事件管理 (SIEM) 2024

Gartner Magic Quadrant for Security Information and Event Management 2024

Gartner 魔力象限：安全信息和事件管理 2024

请访问原文链接：https://sysin.org/blog/gartner-magic-quadrant-siem-2024/，查看最新版。原创作品，转载请保留出处。

Gartner 魔力象限：安全信息和事件管理 2024

Published 8 May 2024

魔力象限

SIEM 已发展成为具有多种功能和部署模型的安全平台，提供具有全面威胁检测、调查和响应功能的安全记录系统。这项研究有助于安全和风险管理领导者评估该领域的提供商。

市场定义/描述：

SIEM 是一个可配置的安全记录系统，可聚合和分析来自本地和云环境的安全事件数据 (sysin)。SIEM 协助采取响应行动，以减轻对组织造成损害的问题并满足合规性和报告要求。

安全信息和事件管理 (SIEM) 系统必须有助于：

• 聚合和标准化来自各种 IT 和运营技术 (OT) 环境的数据
• 识别和调查感兴趣的安全事件
• 支持手动和自动响应操作
• 维护和报告当前和历史安全事件

必备能力

该市场必备的能力包括：

• 从位于本地和/或云基础设施中的各种资产收集基础设施详细信息和安全相关数据。
• 自行开发、修改和维护威胁检测用例。最终用户能够利用基于关联、分析和签名的方法
• 提供 SIEM 供应商内容和设施为客户创建的内容 (sysin)，领域包括：分析、数据标准化、收集和丰富。
• 提供案件管理和事件响应活动支持。
• 生成报告以根据需要支持业务、合规性和审计需求。

标准能力

该市场的标准功能包括：

• 长期存储重要的安全事件数据并可供搜索
• 允许使用多种机制（日志流、API、文件处理）从不同的事件源收集事件数据，用于威胁检测用例、报告和事件调查
• 多种部署选项，包括本地部署、云托管、云原生或 SaaS
• 来自第三方系统的标准化、丰富化和风险评分数据
• 任务和工作流程的编排和自动化 (sysin)，以加强调查并限制事件的影响
• 功能齐全的安全编排自动化响应 (SOAR) 功能
• 使用用户实体行为分析 (UEBA)、数据科学（即监督和无监督机器学习、深度学习/循环神经网络）的高级分析功能
• 威胁情报平台 (TIP) 功能，用于管理情报并提供有关威胁的上下文信息

可选功能

该市场的可选功能包括：

• 平台使客户能够订阅威胁内容并促进与第三方技术的集成，包括应用程序商店、市场和集成
• 对不同环境的联合搜索
• 分散式搜索功能，用于查询 SIEM 数据存储库外部的事件，并在适当的情况下提取额外的丰富信息
• 补充技术，通常采用端点检测和响应 (EDR)、网络检测和响应 (NDR) 的形式
• 用于存储的数据湖平台集成
• 长期存储重要的安全事件数据并可供搜索

领导者（Leaders）：

• Splunk
• Microsoft
• Securonix
• IBM
• Exabeam

挑战者（Challengers）： 见图

有远见者（Visionaries）： 见图

特定领域者（Niche Players）： 见图

查看完整报告（限期公开）：https://sysin.org/blog/gartner-magic-quadrant-siem-2024/

如何选择

在特定市场内定位技术参与者。

主要技术市场上有哪些竞争参与者？他们如何为您提供长期帮助？Gartner 魔力象限是对特定市场的巅峰研究，可帮您广泛了解市场竞争对手的相对位置 (sysin)。利用图示法和一系列统一的评估标准，魔力象限可帮助您快速确定技术提供商执行其既定愿景的情况，并参照 Gartner 的市场观点了解其表现。

如何使用 Gartner 魔力象限？

面对特定投资机会考虑技术提供商时，请借助 Gartner 魔力象限迈出第一步。

请记住，专注于领导者象限不一定是最好的行动方案。有充分的理由考虑市场挑战者。特定领域者可能比市场领导者更能满足您的需求。这完全取决于提供商如何与您的业务目标保持一致。

Gartner 魔力象限如何发挥作用？

面对快速增长和提供商差异化明显的众多市场，Gartner 魔力象限用图形化方法划分出四类提供商：

• 领导者很好地执行了当前愿景 (sysin)，并为未来做好了充分准备
• 有远见者了解市场发展方向，或者有改变市场规则的设想，但执行效果不尽如人意。
• 特定领域者成功专注于一个小的细分市场，或者目标不明确，创新和表现未能超越竞争对手。
• 挑战者当前表现很好，或者可能在大部分细分市场占据主导地位，但未表现出对市场方向的了解。

试用领导者产品

试用领导者产品：

• Splunk：Splunk Enterprise 9.3.0 (macOS, Linux, Windows) - 机器数据管理和分析
• Microsoft：仅 SaaS 产品，无可用
• Securonix：暂无，似乎未在中国开展业务
• IBM：QRadar (暂无)
• Exabeam：暂无，似乎未在中国开展业务