Gartner 在其2017年第三季度全球信息安全预测分析中指出， 全球信息安全市场将以复合年增长率(CAGR) 7.9% 的 增长，预计到2021年将超过1200亿美元。其中，SIEM(安全信息和事件管理)市场2017年支出预测为21.63亿美元，CAGR 增速有望达到9.6%。

　　很显然，越来越多的企业选择 SIEM 解决方案来防范威胁，不论是内部还是高级威胁。在这种情况下，如何甄别并选用适合的 SIEM 解决方案显得尤为重要。本文主要对比以 Splunk 为代表的、由分析驱动的现代 SIEM 技术与传统SIEM，以及开源解决方案和新进入市场的解决方案等。

　　传统SIEM真的不够好吗？

　　找到一种仅仅是收集和存储数据并进行安全性分析的机制是相对简单的。存储数据有多种多样的选择。但是，收集所有与安全相关的数据，并将所有这些数据转化为可操作的情报，则完全是另一回事。

　　传统的SIEM解决方案满足不了调查安全事件的速度要求。云服务的持续应用促成了更多的威胁攻击途径，企业不但要监视用户活动和行为，还要监视关键云和SaaS服务以及本地服务之间的应用程序访问情况，以确定所有的潜在威胁和攻击。

　　传统SIEM解决方案的一些已知问题包括：

　　有限的数据导入能力

　　复杂的部署和维护

　　不灵活的搜索、关联和可见性

　　缺乏可扩展性

　　有限的分析能力

　　一个现代的、分析驱动的SIEM解决方案应具备以下特性：

　　大数据解决方案(能够处理大数据的四性：量大、多样、多变和速度)

　　直接从取证调查中创建规则(或相关搜索)

　　进行报告时不需要单独的关系型数据库

　　在收集时不要求数据标准化

　　支持混合环境(云和本地部署)

　　支持数据关联

　　提供“开箱即用式”的内容(报告、相关搜索、仪表板功能)

　　能够支持IT运营和应用程序管理应用案例

　　缺陷跟踪/案例管理工作流程

　　报警(电子邮件，RSS)

　　不需要专用硬件设备

　　采用新信息重新分析旧数据(冷案例应用案例)

　　支持对原始数据进行统计分析

　　现代的和传统的SIEM方案的不同之处

　　为说明传统SIEM解决方案与由分析驱动的SIEM解决方案(例如，Splunk)之间的不同，我们汇总了一个简单准确的对照表，清楚地列出各种不同。

　　图表中清楚地显示了在SIEM领域中，开源SIEM解决方案或者选择新入市企业(例如，UBA供应商)基础设施的局限性，简言之：开源解决方案往往需要复杂的DIY设置，才能得到传统SIEM有限的结果，更不要说去实现分析驱动的SIEM解决方案更先进的功能。新入市的企业往往需要进行受限的或者复杂的设置才能获得分析驱动的SIEM解决方案自然实现的必要功能。

　　我们根据一份公正的第三方报告进行了技术对比：Gartner关于现代SIEM的9项技术能力。