Gartner:2021年SIEM(安全信息与事件管理)市场分析
Gartner将SIEM定义为满足以下客户需求的解决方案:
实时收集安全事件日志和遥测数据,用于威胁检测和合规性用例; 实时并持续分析遥测数据,以检测攻击和其他感兴趣的活动; 调查安全事件以确定其潜在的严重性和对业务的影响; 报告上述活动; 存储相关事件和日志。
对比一下之前的定义:
SIEM被定义为实时地分析安全事件数据,以满足用户对于攻击和泄露进行早期检测的需要。SIEM系统对安全数据进行收集、存储、调查,并支持缓解和报告,以实现事件应急响应、取证与合规。
通过收集和分析安全遥测以及各种其他上下文数据源来支持威胁检测、安全事件管理和合规性。核心功能包括广泛的日志事件收集和管理、跨不同来源数据的分析能力以及事件管理与响应、仪表板和报告等运行功能。
】。
架构和部署:包括单一部署、分布式部署、级联部署、云部署、MSSP部署、SaaS部署等; 数据收集与管理:结构化和非结构化数据采集、范化、增强、安全传输、安全存储; 分析:威胁检测与分析、合规分析,包括UEBA、ATT&CK映射、ML应用等; 内容:指安全内容,包括各种采集器、范化文件、日志解析器、分析规则和模型、用例、合规包、响应工作流、动作、剧本等。包括这些内容的内置情况、自定义扩展能力、生态能力; 事件响应与管理:快速、正确和有效地对事件进行分类、记录和管理。快速创建安全事件、案例、工单,并结合案例的完整上下文,将加速事件管理和解决,并改进整体响应活动。此外还包括搜索功能。 自动化和编排:此功能解决了可用于协调和自动化调查和响应活动的功能; 运行:此功能解决了高效配置、管理和运行SIEM 解决方案的能力。包括日志和数据源管理、分析和检测内容、报告、用户角色和访问控制、技术集成以及响应工作流、动作和剧本的编制和运用。 用户界面和体验:包括跨 SIEM 平台的 UX 和 UI 的统一程度以及它如何适应各种用户角色; 补充性技术:包括与 SIEM 解决方案高度互补的自有或第三方解决方案的集成。客户往往也有很多方案需要集成到SIEM中去。
赞 (0)