安全运营 (SOC) 中的SIEM、SOAR与Threat Hunting

态势感知、安管平台领域的大牛Benny Ye在其公众号“专注安管平台”上发布了《Gartner：2021年SIEM（安全信息与事件管理）市场分析》（以下简称《文章》）的文章。

我也第一时间对文章进行了学习，对其中的几点内容以及自己的想法进行一个记录，所以本文算是一篇学习笔记。对此领域感兴趣的话，请详细阅读叶总分析文章。

2021年度的SIEM MQ矩阵（转自“专注安管平台”）：

▼▼Gartner市场魔力象限并非单纯考虑规模和影响力

从《文章》中看到，从2020年的市场销售排名前四分别是Splunk（10亿美元）、QRadar（7亿美元）、ArcSight（2.1亿美元）、LogRhythm（1.9亿美元）。但在魔力象限排名中却是Splunk、Qradar退步一点，LogRhythm原地踏步，ArcSight大幅落后。

在排名上Gartner并没有“客观地”把规模和销量作为主要考量，而是将在市场需求、产品创新和技术发展趋势上，符合其“主观态度”的Exabeam和Securonix排名靠前。这也是目前国内厂商喜欢参考Gartner找创新点的主要原因。

有人或许会说Gartner看好的趋势就一定是对的吗？谁也不能保证一定会是对的，对与错根本不是什么关键，关键是至少得有自己的判断。

▼▼云SIEM（SaaS SIEM）可能并不太适用于国内用户

关于SIEM云化，《文章》进行了一个统计，2021年共上榜20家厂商，其中13家都有明确的云SIEM战略和SaaS版SIEM；连续两年以上在榜的厂商，其中8家都有SaaS版SIEM。Gartner认为，到2024年，80%的SIEM厂商将推出云原生和SaaS化的SIEM版本，而目前这里比例为40%。

产品云化是美国安全市场一大特色，基本上所有的产品和技术都有SaaS化的趋势。其根本原因还是业务上云非常普遍，随之而来的一定是安全上云，毕竟皮之不存，毛将焉附呢。

但在国内环境下显然公有云不是主流趋势，主要行业用户更多的还是私有云部署，所以SIEM是否为SaaS模式并不是用户所关心的。另外，很多安全厂商也在很早就尝试过以SaaS方式提供日志分析、SIEM服务，但收效甚微。

虽然SaaS SIEM可能并不太适用于国内用户，但其背后的本质是不会变的。那就是用户并不是很关心平台的部署、配置与维护，这些基础实施运维的工作尽量要快捷方便。用户真正关心的是事件场景需求、回溯分析效果、安全风险趋势等内容，这部分需要用户重点关注参与。

▼▼SOAR、Threat Hunting在国内还处于炒概念和试水阶段

目前国内SOAR概念已经被炒的很热，貌似大部分用户非常接受并认可SOAR，但在落地层面几乎还没有看到有什么好的实践案例。前段时间我在文章《SOAR还面临着一条很难跨越的鸿沟》也做了分析，在这里不再进行赘述。

SIEM偏重基础的安全信息与安全事件的日常性操作与管理；SOAR则偏重在日常性操作与管理基础上的安全编排与自动化响应；Threat Hunting则偏重针对某一特定威胁（或怀疑为高级威胁），依据蛛丝马迹进行深度挖掘。

从三者所提供数据的类型与价值举例来说，SIEM提供的是最为基础战况信息，SOAR加工后提供决策指令信息，Threat Hunting则提供非常规的高价值敌特信息。

从三者之间的数据依赖关系来讲，SIEM数据质量不好会影响SOAR、Threat Hunting效果；从需要匹配安全成熟度来讲，SIEM最为基础、SOAR较高、Threat Hunting最高。

日常性安全操作没有固化的管理机制与场景操作步骤，就算部署了SOAR也只是没有灵魂的躯体。SOAR是安全运营成熟度提高的结果，而非是安全运营建设的目标。

换句话说，想要做好SOAR不能只盯着SOAR本身，而是要提升安全运营成熟度。只有线下安全操作、事件处置流程步骤SOP完善了，才能考虑安全编排、自动化响应的实现，而不是相反的过程。

日常性的安全分析、事件回溯、应急响应操作全部已经做的很好了，并且通过安全编排、自动化响应进一步解放了安全分析人员。这样才能有精力进行威胁猎捕这样的高级挖掘，此时所谓的Threat Hunting才是真正的Hunting，否则只是一般性的运营操作换个叫法而已。

声明：本文来自微言晓意，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。