Gartner：2013年SIEM市場分析（MQ）

2013年5月7日，Gartner一年一度的SIEM magic quadrant報告出爐了。如下圖：

對比一下去年的MQ矩陣：

簡言之，上榜廠商減少到16個，Q1Labs在三強競爭中稍占上風(fēng)，Arcsight有所退步，Splunk終于躋身第一陣營，而Novell則退居二線，Symantec繼續(xù)下滑。

具體地，其實也跟我之前的分析基本一致，我們國內(nèi)熟知的幾個廠商的SIEM發(fā)展都多少遭遇了挫折。而這些其實早已顯現(xiàn)。

1）2012年輪到RSA enVision成為最受抱怨的SIEM產(chǎn)品。主因就是他的查詢性能和報表性能，為此很多用戶轉(zhuǎn)而尋找別的替代產(chǎn)品。Gartner證實了enVision正在被Security Analytics替代的事實，并表示enVision將在2016年中退市。

2）HP ArcSight主要是在2011年到2012年間重建了他的ESM后臺數(shù)據(jù)庫，將之前飽受爭議的Oralce更換為了輕量級的數(shù)據(jù)庫CORR，推出了ESM6.0c，性能改進(jìn)了不少。但即便如此，其系統(tǒng)部署和實施的復(fù)雜性依然高過其他競爭對手。同時，在一些代表未來的SIEM新技術(shù)應(yīng)用方面，Arcsight也落后其他兩大巨頭。

3）對于NetIQ，2012年的主旋律是整合，將Novell Sentinel與之前已有的SIEM產(chǎn)品整合，在競爭方面表現(xiàn)平平，因此，退出第二陣營。

4）鑒于過去幾年Symantec在其SIEM產(chǎn)品的技術(shù)投入平平，表現(xiàn)也繼續(xù)下滑。Symantec也適時調(diào)整了其SSIM產(chǎn)品的營銷策略，將SSIM與SEP捆綁銷售，與其他Symantec產(chǎn)品搭配組合銷售。我本人估計，如果不借助其他Symantec產(chǎn)品的話，其表現(xiàn)可能更糟。

進(jìn)入2012年，Gartner預(yù)計SIEM在全球的市場業(yè)績達(dá)到了13.6億美元，同時，市場集中度進(jìn)一步提升，有5大型個廠商分享了其中60% 的份額。Gartner今年也提高了MQ分析的入圍門檻，至少要有1350萬美元的業(yè)績才能入圍。

【參考】

Gartner：2012年SIEM（安全信息與事件管理）市場分析報告

Gartner發(fā)布2011年SIEM市場分析報告（幻方圖）

評Gartner2010年安全信息和事件管理（SIEM）分析報告

Gartner公司對2009年安全信息和事件管理（SIEM）的分析報告