2013年5月7日,Gartner一年一度的SIEM magic quadrant报告出炉了。如下图:
对比一下去年的MQ矩阵:
简言之,上榜厂商减少到16个,Q1Labs在三强竞争中稍占上风,Arcsight有所退步,Splunk终于跻身第一阵营,而Novell则退居二线,Symantec继续下滑。
具体地,其实也跟我之前的分析基本一致,我们国内熟知的几个厂商的SIEM发展都多少遭遇了挫折。而这些其实早已显现。
1)2012年轮到RSA enVision成为最受抱怨的SIEM产品。主因就是他的查询性能和报表性能,为此很多用户转而寻找别的替代产品。Gartner证实了enVision正在被Security Analytics替代的事实,并表示enVision将在2016年中退市。
2)HP ArcSight主要是在2011年到2012年间重建了他的ESM后台数据库,将之前饱受争议的Oralce更换为了轻量级的数据库CORR,推出了ESM6.0c,性能改进了不少。但即便如此,其系统部署和实施的复杂性依然高过其他竞争对手。同时,在一些代表未来的SIEM新技术应用方面,Arcsight也落后其他两大巨头。
3)对于NetIQ,2012年的主旋律是整合,将Novell Sentinel与之前已有的SIEM产品整合,在竞争方面表现平平,因此,退出第二阵营。
4)鉴于过去几年Symantec在其SIEM产品的技术投入平平,表现也继续下滑。Symantec也适时调整了其SSIM产品的营销策略,将SSIM与SEP捆绑销售,与其他Symantec产品搭配组合销售。我本人估计,如果不借助其他Symantec产品的话,其表现可能更糟。
进入2012年,Gartner预计SIEM在全球的市场业绩达到了13.6亿美元,同时,市场集中度进一步提升,有5大型个厂商分享了其中60% 的份额。Gartner今年也提高了MQ分析的入围门槛,至少要有1350万美元的业绩才能入围。
【参考】
Gartner:2012年SIEM(安全信息与事件管理)市场分析报告
Gartner发布2011年SIEM市场分析报告(幻方图)
评Gartner2010年安全信息和事件管理(SIEM)分析报告
Gartner公司对2009年安全信息和事件管理(SIEM)的分析报告