安全信息和事件管理 （SIEM） 平台的发展已经远远超出了其日志收集与关联的基本初衷。

由于网络面对威胁变化速度过快、无法仅仅倚靠人工进行干预的现状，领先的供应商已将人工智能和机器学习技术集成到其 SIEM 平台中。

此外，现代 SIEM 平台已经集成了扩展检测和响应（XDR）和安全编排、自动化和响应（SOAR），从而实现实时的威胁检与自动修复。

换句话说，在异常行为触发检测规则告警之前，SIEM 平台就已经在监控日志数据中的异常和可疑事件。

“SIEM 通常作为安全分析师的工作空间，用于调查告警与其他上下文（如资产信息、漏洞和威胁情报）相关的事件，”分析机构IDC 表示，“IDC 预计未来 SIEM 还将成为 SOC 的响应中心，通过剧本（playbook） 自动处理许多事件。”

随着企业云使用量的持续增加，以 Google 的 Cloud Cybersecurity Forecast 产品为代表，SIEM 将成为企业 SOC 的核心，提取“从云日志到终端遥测数据的所有内容”。

市场情报公司 Context 的研究与业务发展全球总监 Joe Turner 指出，更大的攻击面和更复杂的攻击正在促使企业将 SIEM 与其他技术（包括 XDR 和 SOAR）相结合，作为关联、检测和修复威胁的平台。因此，他的公司报告称，SIEM 市场在 2024 年增长了20%。

SIEM 与 XDR 和 SOAR 等安全工具的融合是推动市场增长的主要因素。

SIEM提供日志分析和广泛的可见性，XDR 将检测扩展到端点和云，SOAR 编排响应。

当 SIEM 检测到安全事件时，SOAR会通过 XDR 触发自动响应，从而实时隔离受损的终端、禁用受损的用户帐户或阻止恶意流量。

通过将 SIEM 与 XDR 和 SOAR 融合，组织可以获得一个统一的安全平台，该平台可以整合数据、降低复杂性并缩短响应时间，因为系统可以配置为自动遏制威胁，而无需任何人工干预。

据 Context 统计，2024 年 SIEM 与 XDR 技术的捆绑销售增长了 580%，将近 6 倍。此外，根据市场情报机构的数据，去年与 SOAR 和 SIEM 一起捆绑销售的配套服务也小幅增长，达到了22%。

“SIEM++ 一词用于指代 SIEM的下一步，该步骤旨在满足当前安全运营中自动化、AI 和实时响应的更多需求。因此，SIEM 的销售才会与其他工具一起增加，“Context 的 Turner 解释道。

总部位于英国的托管服务提供商 Emerging T-Tech 其总监 George McKenna 告诉我们，SIEM 与 XDR 和 SOAR 的融合使企业能够简化运营、提高检测效率并缩短平均检测与响应时间。

“传统 SIEM 虽然对日志聚合和关联有效，但缺乏当今威胁形势所需的精细可见性和自动响应功能，”McKenna 解释说。“XDR 通过集成端点、网络和云遥测来解决这一差距，提供潜在威胁的整体视图。”

McKenna 补充道：“然后，SOAR 实现了事件响应工作流程的自动化，从而加快了缓解和补救的速度。

随着组织寻求更具可扩展性和成本效益的平台，向基于云的 SIEM 的转变正在加速。

“云原生 SIEM 减少了运营开销，并实现了安全、DevOps 和平台团队之间更快的调查和协作——这是现代安全运营的关键，”云和安全监控公司 Datadog 的云SIEM 高级产品营销经理 Vera Chan 说。

基于云的 SIEM 解决方案是即插即用的安全平台，因此组织可以订阅、通过 API 集成资产、使用 SOAR 自动响应以及设置定制的检测规则。

“基于云的现代 SIEM 超越了日志管理，”通信和网络安全提供商 Exponential-e 的网络解决方案顾问 Muhammad Ali 告诉我们，“它是一个智能安全中心，具有内置 SOAR 功能、与基于云的 XDR/EDR 解决方案的无缝 API 集成以及实时全球威胁情报。”

Ali 补充道：“这意味着更敏锐的检测能力和对高级网络威胁的更快速的自动化响应。

基于云的 SIEM 消除了与传统本地部署相关的昂贵硬件升级需求，提供了可扩展性和更快的响应时间，以及可能更具成本效益的基于实际使用情况的定价模型。

“鉴于每天都有大量的新威胁出现，当前的SIEMs对新兴和复杂的攻击无效，这些攻击并不遵循预先存在的模式，”Palo Alto 英国和爱尔兰首席安全官 Scott McKinnon 说，“下一代 SIEM 使用 AI 和机器学习来减少误报，帮助预测安全漏洞，并实现自动化威胁响应。”

根据 Context 的数据，2024年，本地化 SIEM 成本上涨了 116%，平均每个实例 93 美元。相比之下，去年基于云的 SIEM 成本下降了 26%，至平均每个实例 77 美元。

“云SIEM的前期成本现在低于本地化SIEM，且部署速度要快得多，”Context 的 Turner 解释说，“这对于希望在有限预算下保护自己的 SMB [中小型企业] 非常有吸引力。”

然而，Turner 建议，云的高数据摄取成本意味着处理大量信息的大型企业可能会继续通过本地化或混合 SIEM 部署得到更好的服务。

报告称，基于云的 SIEM 收入在2024 年同比增长了 60%。通过 MSP 提供的基于 SIEM 的服务增长了 6 倍多，同期增长了 550%。

“SIEM（或 SIEMaaS）的 MSP 增长是由于非常现实的限制，即许多企业无法雇用或留住内部安全团队，主要是由于预算限制，”Context 的 Turner 说。“这意味着投资于更实惠的托管产品，并且无需了解和处理 SIEM 的复杂性。”

基于静态规则的 SIEM 难以跟上当今复杂的网络威胁，这就是为什么 AI 驱动的 SIEM 平台使用实时机器学习 （ML） 来分析大量安全数据，从而提高它们识别异常和传统技术可能遗漏的以前未见过的攻击技术的能力。

ML 模型为用户、资产和网络流量建立基线行为，持续监控可能代表潜在威胁的异常。检测到异常时，经过训练的模型会生成告警，从而更快地进行威胁检测和响应。

“AI 驱动的 SIEM 解决方案不仅可以检测威胁，还可以自动执行调查流程，将实时事件与全球威胁情报相关联，”Exponential-e 的 Ali 说，“通过与 SOAR 和 XDR/EDR 平台集成，可以触发自动响应或将事件上报给安全分析师以采取进一步行动。”

Ali 补充道：“这显著提高了事件响应效率，并支持更高效、更敏捷的安全运营中心，比攻击者领先一步。

AI 驱动的 SIEM 可以确定关键警报的优先级，推荐响应措施，并自动进行修复，从而减少噪音和疲劳。

“随着对手利用 AI，安全团队必须采用 AI 驱动的自动化才能保持领先地位，”Datadog 的 Chan 说。

随着供应商寻求开发更全面、更强大的平台，SIEM 市场正在经历快速整合。

“组织需要更少的工具、更深入的集成和无摩擦的端到端安全运营——能够实现这些的供应商将塑造网络安全的未来，”Datadog 的 Chan 说。

过去几年中值得注意的 SIEM 并购活动包括：

• Palo Alto Networks 于 2024 年 9 月以 5 亿美元的价格收购 IBM 的 QRadar SaaS 业务Exabeam于2024 年 7 月与 LogRhythm 合并。

• 思科于 2024 年 3 月以约 280 亿美元的价格收购 Splunk。

• Google 于 2022 年收购 Siemplify（一家 SOAR 公司），以整合到 Google Chronicle SIEM 中。

• IBM于 2021 年收购了 Reaqta（专注于 AI 驱动的检测），以增强 XDR 市场的 QRadar 功能。

“我们看到销售独立 SIEM 产品的供应商越来越少，而捆绑套件的数量正在增加，”Context 的 Turner 说。

“传统的 SIEM 供应商正在收购云原生安全公司，以帮助推动客户要求从本地过渡到基于云的解决方案，这些解决方案具有更具竞争力的定价模型，”他补充道。