Forrester Wave™ 的作者引用了《帝國(guó)反擊戰(zhàn)》的一句話來(lái)總結(jié) SIEM 的發(fā)展方向：“你該留在這里，和我們一起在云端。”繼續(xù)跟隨“星戰(zhàn)”的指引，我們還能在《魅影危機(jī)》中發(fā)現(xiàn)一些真理：“你阻止不了改變，就像你阻止不了太陽(yáng)下山一樣。”

在適應(yīng)不斷變化的威脅方面，安全分析始終是一貫的需求，今年也不例外。威脅檢測(cè)、調(diào)查和響應(yīng)比以往更加復(fù)雜。由于員工居家工作所處的是一個(gè)不斷演變的威脅環(huán)境，企業(yè)正在逐漸將工作負(fù)載轉(zhuǎn)移到云端。因此，現(xiàn)代安全分析已不僅限于 SIEM，這其中還要包括 SOAR、用戶和實(shí)體行為分析 (UEBA)，乃至擴(kuò)展的檢測(cè)和響應(yīng) (XDR)。立足 2021年，作為買(mǎi)家的我們?cè)谫?gòu)買(mǎi)時(shí)應(yīng)考慮哪些趨勢(shì)？來(lái)自《The Forrester Wave™：2020 年第四季度的安全分析平臺(tái)》的洞察力解讀，云服務(wù)將會(huì)成為選擇解決方案的關(guān)鍵并會(huì)為一系列的功能選擇指明道路。

面向云服務(wù)的 SIEM 網(wǎng)絡(luò)安全

過(guò)去，大家一直將安全分析視為本地工具集。但近年來(lái)，軟件即服務(wù) (SaaS) 的 SIEM 安全工具表現(xiàn)出向上發(fā)展趨勢(shì)。出現(xiàn)這樣的局面都是應(yīng)需求變化所致，即降低資本支出以轉(zhuǎn)向基于運(yùn)營(yíng)支出的模型。此外，作為 SaaS 提供的 SIEM 工具還可縮短價(jià)值實(shí)現(xiàn)時(shí)間且更靈活、更易于擴(kuò)展。

如今，多家供應(yīng)商都在基礎(chǔ)架構(gòu)即服務(wù)（在 AWS/Azure 上運(yùn)行）和容器產(chǎn)品中提供了云部署支持。這些解決方案的部署可以更靈活，提供更好的擴(kuò)展性和可移植性。

Forrester 報(bào)告的作者表示，在 SaaS 或云托管模型下使用 SIEM“使供應(yīng)商能夠更快地向其客戶推出新功能并減少這些系統(tǒng)的管理開(kāi)銷(xiāo)”。

快速靈活的云服務(wù)是 SIEM 買(mǎi)家在 2021年選擇附加功能時(shí)要考慮的主要因素。

可定制性

對(duì)于企業(yè)而言，由供應(yīng)商直接提供的檢測(cè)內(nèi)容和分析就足以應(yīng)對(duì)需求。不過(guò)，采用高級(jí)用例的企業(yè)會(huì)在靈活性上有更高的要求。此外，高級(jí)用戶需要能夠創(chuàng)建定制分析。開(kāi)放式分析和機(jī)器學(xué)習(xí)對(duì)于定制檢測(cè)而言至關(guān)重要。

高級(jí)分析

2018 年，Gartner 預(yù)測(cè) 85% 的 UEBA 會(huì)成為更廣泛的安全平臺(tái)的一項(xiàng)功能。很多供應(yīng)商支持行為分析，并通過(guò)網(wǎng)絡(luò)和終端檢測(cè)工具提供更多數(shù)據(jù)。兩年后，隨著威脅和威脅實(shí)施者的發(fā)展，我們會(huì)需要分層分析手段，例如：

• 關(guān)聯(lián)，包括多個(gè)來(lái)源、威脅數(shù)據(jù)和開(kāi)箱即用的檢測(cè)用例。
• 機(jī)器學(xué)習(xí)，包括應(yīng)用于用戶、網(wǎng)絡(luò)和資產(chǎn)的多種統(tǒng)計(jì)模型。
• 自動(dòng)化，包括自動(dòng)檢測(cè)和響應(yīng)工作流程以及針對(duì)惡意軟件或網(wǎng)絡(luò)釣魚(yú)的自動(dòng)響應(yīng)。

MITRE ATT&CK™

近年來(lái)，以攻擊者操作方式的模型為基礎(chǔ)，MITRE ATT&CK 框架已成為事實(shí)上的威脅檢測(cè)框架。

團(tuán)隊(duì)需要具備將任務(wù)（包括可視性和檢測(cè)，以及調(diào)查和響應(yīng)）映射到框架的能力。這能夠幫助他們見(jiàn)微知著，在攻擊方面做到防范于未然。將活動(dòng)性攻擊和進(jìn)行性攻擊具象化能夠?yàn)橥{獵捕者和響應(yīng)者提供背景信息，幫助他們?cè)谘芯客{時(shí)以更快的速度和更自信的態(tài)度來(lái)采取行動(dòng)。

XDR

XDR 支持多種威脅檢測(cè)和響應(yīng)。根據(jù) Forrester Wave™ 的報(bào)告，終端檢測(cè)和響應(yīng) (EDR) 與其他工具的分析相結(jié)合“即可[實(shí)現(xiàn)]高豐度遙測(cè)、快速調(diào)查和自動(dòng)響應(yīng)行動(dòng)”。

去年年初，我們探討了 SIEM 的過(guò)去、現(xiàn)在和未來(lái)。我們研究的趨勢(shì)之一是在用戶、設(shè)備、網(wǎng)絡(luò)、應(yīng)用和云端繼續(xù)采用基于行為的分析。在此基礎(chǔ)上，我們認(rèn)為 SIEM 的未來(lái)是開(kāi)放的，需要以工具無(wú)縫協(xié)同工作為途徑，實(shí)現(xiàn)更具凝聚力的工作流。

立足 2021 年展望未來(lái)，我們很高興看到業(yè)界正在朝著開(kāi)放安全、標(biāo)準(zhǔn)協(xié)議以及跨多系統(tǒng)的讀取收集努力，以奔向這一全新領(lǐng)域。借助 XDR，業(yè)界正走向建立更廣泛、更緊密聯(lián)系的方向。

SIEM 一直在發(fā)展

著眼于以往的安全分析發(fā)展程度并展望即將到來(lái)的變化，很明顯，選擇一個(gè)了解市場(chǎng)需求的合作伙伴是非常重要的。

IBM Security 已獲得 2020 年第四季度 Forrester Wave™ 安全性分析領(lǐng)導(dǎo)者的殊榮，而且在現(xiàn)有產(chǎn)品類別中的得分最高。立即前往 2021全新安全專區(qū)，掌握最新安全技術(shù)趨勢(shì)。

Forrester Wave™ 的版權(quán)歸 Forrester Research, Inc. 所有。Forrester 和 Forrester Wave 是 Forrester Research, Inc. 的商標(biāo)。Forrester Wave 是 Forrester 對(duì)市場(chǎng)拜訪調(diào)研的圖形化表示，使用詳細(xì)的電子表格（包括公開(kāi)評(píng)分、權(quán)重和備注等）繪制而成。Forrester 不對(duì) Forrester Wave 中所述的任何供應(yīng)商、產(chǎn)品或服務(wù)提供任何保證。信息基于最佳可用資源。觀點(diǎn)反映的是當(dāng)時(shí)的判斷，可隨時(shí)更改。

[[375583]]