2013年5月7日，Gartner一年一度的SIEM magic quadrant报告出炉了。如下图：

对比一下去年的MQ矩阵：

简言之，上榜厂商减少到16个，Q1Labs在三强竞争中稍占上风，Arcsight有所退步，Splunk终于跻身第一阵营，而Novell则退居二线，Symantec继续下滑。

具体地，其实也跟我之前的分析基本一致，我们国内熟知的几个厂商的SIEM发展都多少遭遇了挫折。而这些其实早已显现。

1）2012年轮到RSA enVision成为最受抱怨的SIEM产品。主因就是他的查询性能和报表性能，为此很多用户转而寻找别的替代产品。Gartner证实了enVision正在被Security Analytics替代的事实，并表示enVision将在2016年中退市。

2）HP ArcSight主要是在2011年到2012年间重建了他的ESM后台数据库，将之前饱受争议的Oralce更换为了轻量级的数据库CORR，推出了ESM6.0c，性能改进了不少。但即便如此，其系统部署和实施的复杂性依然高过其他竞争对手。同时，在一些代表未来的SIEM新技术应用方面，Arcsight也落后其他两大巨头。

3）对于NetIQ，2012年的主旋律是整合，将Novell Sentinel与之前已有的SIEM产品整合，在竞争方面表现平平，因此，退出第二阵营。

4）鉴于过去几年Symantec在其SIEM产品的技术投入平平，表现也继续下滑。Symantec也适时调整了其SSIM产品的营销策略，将SSIM与SEP捆绑销售，与其他Symantec产品搭配组合销售。我本人估计，如果不借助其他Symantec产品的话，其表现可能更糟。

进入2012年，Gartner预计SIEM在全球的市场业绩达到了13.6亿美元，同时，市场集中度进一步提升，有5大型个厂商分享了其中60% 的份额。Gartner今年也提高了MQ分析的入围门槛，至少要有1350万美元的业绩才能入围。

【参考】

Gartner：2012年SIEM（安全信息与事件管理）市场分析报告

Gartner发布2011年SIEM市场分析报告（幻方图）

评Gartner2010年安全信息和事件管理（SIEM）分析报告

Gartner公司对2009年安全信息和事件管理（SIEM）的分析报告