SIEM：缓慢消亡还是迎来AI重生？

SIEM市场正处在一个关键转折点，XDR平台和生成式AI正在颠覆安全分析领域。

信息安全专业人士普遍认为SIEM市场正在经历重大洗牌——只是方向尚不明确。在最近的一项在线调查中，Dark Reading询问读者关于安全信息与事件管理（SIEM）平台在安全运维中的未来。在1400多份回复中，40%的受访者认为SIEM应该融入扩展检测与响应（XDR）和终端检测与响应（EDR）平台或其他安全工具，而35%的人认为该产品类别在融入AI并现代化后仍有发展空间。

然而，15%的受访者表示SIEM的消亡迫在眉睫，而10%的人表示他们的组织甚至没有传统的SIEM。考虑到每天产生的海量安全数据，加上生成式AI的兴起，信息安全专业人士对SIEM作为独立产品的未来存在分歧也就不足为奇了。

近几年的几起并购交易表明了市场的转变。例如，IBM去年退出SIEM市场，将其QRadar SaaS资产出售给Palo Alto Networks，而Exabeam和LogRhythm合并以整合他们的SIEM和安全分析产品。

此外，像CrowdStrike和SentinelOne这样的XDR供应商通过在其平台中添加SIEM功能进入市场，而科技巨头则继续扩展其产品。例如，微软上周为其Sentinel SIEM添加了数据湖集成功能，允许客户存储无限量的安全数据，如日志文件。

SIEM的困境

企业战略集团的首席分析师Dave Gruber表示，大多数组织正在重新评估他们的SIEM投资，以确定它们是否能够满足AI时代未来的安全运维需求。

“安全数据聚合、关联和分析以支持威胁检测的需求仍然强烈，但出现了一个新的用例，即安全数据需要输入生成式AI和代理AI功能，这是传统SIEM最初没有设计的，”Gruber说。“这些新用例进一步增加了使用的安全数据量，这可能进一步挑战传统SIEM。”

Forrester的首席分析师Allie Mellen同意客户处于困境。SIEM是“极其灵活的工具”，她说，组织可以将安全数据输入平台，并根据这些数据设置规则和政策。然而，配置和定制需要大量时间和金钱。

“有些安全团队因为涉及的成本和管理而真的想摆脱SIEM，”Mellen说。“但有些客户不能——或者他们不想，因为他们在那个SIEM上投入了大量工作。”

但根据DeVry大学的副总裁兼首席信息安全官Fred Kwong的说法，运行SIEM所涉及的成本和复杂性正在将市场推向边缘。

“SIEM的承诺是它是一种摄取所有日志并围绕数据建立关联的方式，让你能够采取行动。我认为大多数组织都没能达到这一点，要么是因为创建规则的复杂性，要么是因为不得不挑选发送哪些日志，”Kwong说，并补充说许多供应商按吞吐量收费，这导致高成本。

AI复兴还是灭绝？

如果SIEM客户不满意并重新考虑他们的投资，他们有什么选择？除了坚持使用独立的SIEM，Mellen看到了两种替代方案。第一种是转向已将SIEM功能集成到其平台中的XDR供应商。第二种选择是通过将安全数据移动到更具成本效益的数据湖中并在其上应用分析来将SIEM一分为二。

Kwong说，虽然SIEM擅长日志解析，但他看到该产品类别正被生成式AI所掩盖。“未来将是一个你可以使用自然语言查询数据并通过LLM返回的时代，”他说。“由于AI的进步和存储的低成本，在数据变得无关之前解析数据的必要性降低了。”

Mellen说，她认为大多数组织不会选择第二种方案，因为需要的工作量和定制量太大。话虽如此，她相信AI有机会增强SIEM而不是完全取代它们；例如，有些用例将代理AI修补到SIEM中，代理可以协助调查和响应任务。

“这是生成式AI在安全运维中最引人注目（如果不是最引人注目）的用例之一，”Mellen说。

目前，XDR平台正对独立SIEM施加巨大的竞争压力，Mellen说。但XDR供应商也面临挑战，因为大多数平台可能不提供传统SIEM的完整功能集，她说。

Gruber对EDR和XDR平台将完全取代SIEM持怀疑态度。“在可预见的未来，这些工具取代SIEM解决方案的可能性很小，”他说。“然而，我们过去所知的SIEM解决方案将迅速发展，以支持数据饥渴的AI解决方案日益增长的需求。”