SIEM(Security Information and Event Management,安全信息与事件管理)
定义
SIEM 由 Gartner 在 2005 年命名,是企业安全运营中心(SOC)的核心引擎 — 采集多源日志(防火墙、AV、IDS、操作系统、应用、云),归一化、关联分析、告警,是过去 20 年企业安全的数据中台。
SIEM 的演化
| 时代 | 代表 | 特征 |
|---|---|---|
| SIEM 1.0(2005-2015) | ArcSight / QRadar / RSA | 本地部署、规则引擎、日志聚合 |
| SIEM 2.0(2015-2022) | Splunk / Sumo Logic / Elastic | 云原生、大数据、UEBA |
| SIEM 3.0 / XSIAM(2022+) | Palo Alto XSIAM / CrowdStrike LogScale | AI 驱动、自动响应、取代 SOC L1 |
关键玩家
- Splunk — SIEM 全球第一,2024 被 Cisco $280 亿 收购(据投行内部研究)
- Microsoft — Sentinel,Azure 云原生 SIEM
- IBM — QRadar(QRadar SaaS 资产 2024-09-04 出售给 Palo Alto Networks,2024-05 宣布;Palo Alto 官方公告,T1)
- Palo Alto Networks — XSIAM,新一代 SIEM
- CrowdStrike — Falcon LogScale(收购自 Humio)
- 中国:奇安信 / 启明星辰 / 安恒信息 / 360
市场动向
- 2024 Cisco $280 亿收购 Splunk — 全球第二大网安并购(仅次于 Google/Wiz $320 亿)
- 2024-09 Palo Alto Networks 从 IBM 手中收购 QRadar SaaS 资产(2024-05 宣布,2024-09-04 交割,Palo Alto 官方公告,T1)
- SIEM → XSIAM 演化趋势:用 AI 替代传统规则引擎
已废弃叙述
2026-05-29 日期订正:IBM QRadar SaaS 出售给 Palo Alto 的时点 "2024-08" → 更正为 2024-05 宣布 / 2024-09-04 交割(依据 Palo Alto Networks 官方公告 T1)
- QRadar(2024-08 出售给 Palo Alto Networks)
- 2024-08 Palo Alto Networks 从 IBM 手中收购 QRadar SaaS 客户
关联
↓ down::SOAR XSIAM SOC ∈ belongs_to::3-08-AI基础设施安全