在Gartner 2020年度的SIEM魔力象限出來之前，我們先看看Forrester最新的安全分析平臺(tái)（Security Analytics Platform）的廠商評(píng)估報(bào)告（Forrester Wave），發(fā)表于2020年12月1日。Forrester的SAP細(xì)分市場(chǎng)大致對(duì)應(yīng)于Gartner宇宙的SIEM細(xì)分市場(chǎng)。

　　上一次Forrester發(fā)布SAP的廠商評(píng)估報(bào)告還是在2018年，時(shí)隔兩年多，變化還是比較大的，因?yàn)樽罱鼛啄暾礢IEM/SOC/SAP領(lǐng)域翻天覆地的時(shí)代。

　　Forrester在此前的另一份報(bào)告《Now Tech: Security Analytics Platforms, Q3 2020》中給出了最新的SAP定義：

　　SAP構(gòu)建在大數(shù)據(jù)基礎(chǔ)設(shè)施之上，融合來自網(wǎng)絡(luò)、身份、端點(diǎn)、應(yīng)用和其它安全相關(guān)數(shù)據(jù)源的日志，產(chǎn)生高保真的行為告警，并促成快速的安全事件分析、調(diào)查與響應(yīng)。

　　回顧一下Forrester首次定義SAP的時(shí)候，是在《Counteract Cyberattacks With Security Analytics》報(bào)告中：

　　SAP是一個(gè)構(gòu)建在大數(shù)據(jù)架構(gòu)之上的平臺(tái)，它融合了來自包括SIM，（特定）安全解決方案，網(wǎng)絡(luò)流數(shù)據(jù)，外部威脅情報(bào)和各種終端及應(yīng)用的日志數(shù)據(jù)、關(guān)聯(lián)數(shù)據(jù)和報(bào)表數(shù)據(jù)。SAP使用這些信息和機(jī)器學(xué)習(xí)技術(shù)為（用戶）提供實(shí)時(shí)監(jiān)測(cè)，促使（用戶）更快速地事件檢測(cè)、分析與響應(yīng)。

　　對(duì)比一下，定義大致保持一致，并且現(xiàn)在的定義更加簡(jiǎn)潔。

　　注意：SAP不等于SA，SA（安全分析）是一種技術(shù)，不是一個(gè)細(xì)分產(chǎn)品市場(chǎng)！

　　Forrester認(rèn)為當(dāng)前SAP的三個(gè)核心用途是：

　　通過更好的網(wǎng)絡(luò)可見性識(shí)別位置威脅

　　借助自動(dòng)化告警分診和響應(yīng)推薦來支撐SOC分析師的工作

　　實(shí)現(xiàn)整個(gè)環(huán)境的編排化響應(yīng)

　　顯然，F(xiàn)orrester對(duì)SAP的定義外延比經(jīng)典的SIEM更大，稱作下一代的SIEM，更貼近我們現(xiàn)今對(duì)安管平臺(tái)（或者SOC平臺(tái)）的認(rèn)知。當(dāng)然，現(xiàn)在Gartner在分析SIEM市場(chǎng)的時(shí)候也早已不在局限于經(jīng)典SIEM范圍了，大家對(duì)市場(chǎng)的認(rèn)識(shí)都在趨同。ESG的SOAPA也差不多是一個(gè)意思。

　　在Forrester看來，SOAR是SAP的核心能力，甚至以此來區(qū)分不同類型的SAP。此外，F(xiàn)orrester直接使用Gartner宇宙的SOAR術(shù)語，以替代原來的SAO。

　　小結(jié)一下，用我們通俗可以理解的話來描述，SAP = 大數(shù)據(jù) + SIEM + SOAR + XDR + UEBA。

　　回到報(bào)告，2020年的Forrester Wave象限圖如下：

　　對(duì)比一下2018年的Wave象限圖：

　　可以看到，這個(gè)變化還是比較大的。

　　首先，AlienVault已經(jīng)被AT&T收購(gòu)，McAfee、Fortinet、Huntsman也沒有上榜，而FireEye上榜了。

　　其次，微軟憑借Azure Sentinel上榜，且位置突出，表明Forrester對(duì)Cloud SIEM（該術(shù)語來自Gartner）市場(chǎng)的重視。而Gartner目前還沒有將Cloud SIEM納入SIEM MQ考察范圍。

　　最后，也是最重要的，維持入榜的廠商位置都發(fā)生了較大變化。IBM和Splunk兩強(qiáng)領(lǐng)跑，LogRhythm退居二線，Securonix和Exabeam憑借UEBA（Forrester稱之為SUBA）技術(shù)異軍突起。

　　進(jìn)一步來看，IBM和Splunk十分貼合Forrester對(duì)SAP的看法（也不好說是誰影響了誰），都是SIEM+SOAR的戰(zhàn)略，都有云端SAP產(chǎn)品和服務(wù)，市場(chǎng)表現(xiàn)也很好。

　　LogRhythm雖也有SOAR和SaaS版，都這些能力表現(xiàn)都差強(qiáng)人意。不過這個(gè)報(bào)告沒來及講到的是，就在2021年1月13日，LogRhythm宣布收購(gòu)云分析平臺(tái)廠商MistNet，預(yù)計(jì)將重組其圍繞看家的SIEM之上的XDR和Cloud SIEM技術(shù)/產(chǎn)品/市場(chǎng)戰(zhàn)略。

　　Micro Focus的Arcsight在經(jīng)歷了數(shù)年的大滑坡后，也稍稍回血，先是2019年收購(gòu)了Interset獲得了UEBA技術(shù)，然后在2020年7月收購(gòu)了ATAR Labs獲得了SOAR技術(shù)，總算是面子上追了回來，但整合的如何尚未可知。而且Forrester認(rèn)為Arcsight擁抱云相較于其它幾個(gè)大廠而言太晚了點(diǎn)。

　　順帶提一下，Micro Focus旗下的Arcsight退步是有目共睹，但Forrester還算手下留情，給它放到的第二檔，而Gartner則狠心將其放到了2019年度MQ的第四檔。

　　Forrester對(duì)SAP的主要觀點(diǎn)

　　Forrester認(rèn)為，SAP的未來在云端，因?yàn)橛脩舻墓ぷ髫?fù)載在向云端遷移，而且云端具有存儲(chǔ)極易擴(kuò)容、輕松上規(guī)模、穩(wěn)定可靠等特點(diǎn)，另外云端SAP的軟件開發(fā)與發(fā)布更高效。從實(shí)際市場(chǎng)來看，F(xiàn)orrester發(fā)現(xiàn)主流的SAP廠商都開始提供Cloud SIEM。

　　微軟的Azure Sentinel可謂云原生SAP，走到了GCP Chronicle前面。

　　IBM憑借QRadar和Resilient上榜，同時(shí)Forrester也提到了IBM的CloudPak for Security Platform，作為其向云轉(zhuǎn)戰(zhàn)的標(biāo)志。

　　Spunk憑借ES和Phantom上榜，同時(shí)其面向云的Misson Control受到關(guān)注。

　　Securonix也推出了基于SaaS的多租戶版SAP。

　　Forrester給選擇SAP的客戶提了4點(diǎn)建議，也就是SAP應(yīng)具備的4個(gè)關(guān)鍵能力：

　　1）客戶定制化能力，特指分析內(nèi)容，分析場(chǎng)景和分析模型的自定義；

　　2）分析與自動(dòng)化響應(yīng)一體化，不僅能夠發(fā)現(xiàn)問題，還能幫助解決問題；

　　3）把MITRE的ATT&CK框架作為安全運(yùn)行的一部分，貫穿檢測(cè)、調(diào)查和獵捕的各個(gè)環(huán)節(jié)；

　　4）具備XDR的愿景，能夠?qū)DR很好的整合到安全分析中來。

　　Forrester在評(píng)估SAP廠商技術(shù)能力的時(shí)候，考量的維度包括：部署模式和數(shù)據(jù)架構(gòu)、可見性、關(guān)聯(lián)分析能力、威脅檢測(cè)能力、ATT&CK映射、定制化檢測(cè)能力、安全編排能力、合規(guī)性、平臺(tái)使用體驗(yàn)、分析能力、風(fēng)險(xiǎn)評(píng)分與優(yōu)先級(jí)劃分能力。