安全信息与事件管理(SIEM)市场正经历数十年来最重大的转变之一,这一转变由安全数据湖、数据管道及高级分析平台的兴起驱动。从最初的集中式日志管理,如今已演变为关于"谁将掌控 SOC 数据层"的争夺战——参与方包括传统SIEM供应商、云原生数据平台,以及新兴的安全数据管道提供商。本报告探讨SIEM与数据湖的融合趋势、塑造市场的竞争格局,以及那些重新定义企业威胁检测、分析与响应方式的核心玩家。
我们将深入探讨 2025 年 SIEM 系统的现代化转型如何解决传统痛点,包括成本攀升、数据噪声问题,以及日益增长的SOC能力要求。对于正在评估现代SIEM模式的首席信息安全官(CISO)、SOC负责人及一线从业者而言,本报告是一份实地指导手册。报告梳理了塑造市场的核心架构模式:涵盖管道优先设计、与数据湖及联邦查询层解耦的计算存储架构,以及将SIEM与用户实体行为分析(UEBA)、安全数据隐私保护(SDPP)、扩展检测与响应(XDR)、安全编排自动化响应(SOAR)和暴露管理相融合的统一平台。我们与数家头部SIEM供应商展开深度合作,对其解决方案进行了全面评估。
我们对众多供应商开展了深入分析。本报告将七家供应商与实际应用场景、SOC成熟度进行对应映射,并通过我们的PDDIR框架(定价、部署、检测、调查、报告),对比各厂商在成本控制、降噪能力、分析师效率及开放性上的应对策略。依托实际演示与问卷调研,报告提供了一套实用的决策指南、清晰的选型标准,以及我们关于“管道集成、定价模式转型、面向分析师的AI赋能、现代SIEM架构演进”的核心观点。
引言
《2025 市场指南:安全数据管道的崛起与 SIEM 的进化路径》以及《2025 年 SACR AI SOC 市场格局》报告揭示了安全运维领域的重大变革,其中 SIEM 系统正处于这场变革的核心。从业者纷纷指出日益攀升的成本、规则管理的运维负担,以及嘈杂日志导致的告警疲劳等问题。XDR 系统、安全数据湖、安全数据管道及其他安全分析与运维平台正不断挤压 SIEM 的预算空间。但可以确定的是:SIEM 平台仍将坚守阵地。只不过,现代 SIEM 平台的定义标准已变得更为严苛。
这个最初简单的日志分析工具,如今已发展为 SOC 中最复杂且成本最高的平台之一。供应商正通过以下方式推进SIEM发展:与数据管道更深度整合、引入AI驱动功能、采用模块化设计,以及更聚焦于分析师体验。2025年的突出特点是,每家领先供应商都在以各自的方式推动SOC向前发展。
本报告重点分析了 2025 年影响 SIEM 发展的主要趋势及其对安全团队的意义。我们探讨了 SIEM 当前的价值实现方式、亟待改进的领域,以及现代平台的差异化特征。分析聚焦于供应商如何解决长期痛点、人工智能如何改变分析师体验,以及新型架构如何重塑 SIEM 在安全运营中心(SOC)中的作用。
为了具体呈现这些主题,我们通过演示和问卷调查评估了一系列厂商,采用全面的 PDDIR(定价、部署、检测、调查、报告)框架,展示这些转变在实践中的体现,以及安全决策者做选择时需要考虑哪些因素。
执行摘要
SIEM 并未消失,而是在转型:尽管存在定价和容量膨胀问题,并面临 XDR、数据湖和安全数据管道平台的竞争压力,SIEM 仍是安全运营中心的核心;只是其定义范围得到了扩展。
成本和复杂性仍是首要考量:数据量激增与基于数据摄入的定价模式促使买家更青睐具备可预测成本、弹性存储及低管理负担的平台。
安全数据管道正在重塑 SIEM:通过安全数据隐私保护(SDPP)实现的过滤、流内检测、更广泛的集成、数据规范化和更高的数据质量现已成为核心能力,帮助降低成本并减少噪音干扰。
架构转型正在加速:供应商正从单体堆栈转向解耦或分布式设计,实现计算与存储分离、支持联邦查询,并赋予客户更多控制权。
AI 正从概念炒作走向实际应用:辅助决策系统、自然语言检测和自动化调查功能正被集成到 SIEM 中,降低了检测工程门槛并缓解分析师疲劳。
定价创新至关重要:相较于传统的基于数据摄入量的计费模式,许多现代 SIEM 平台正在试验基于数据源、使用量或过滤事件的定价模型。
融合正在重塑SOC:安全编排自动化响应(SOAR)、扩展检测与响应(XDR)、暴露管理,以及如今的安全数据隐私保护(SDPP),正被纳入SIEM——使其从独立产品逐渐演变为统一的运营层。
市场分化正在显现:SIEM正朝两个方向演变——一是“最大化灵活性”的开放、解耦应用层,二是“最大化集成度”的紧密捆绑生态系统。
从传统 SIEM 到现代 SIEM:奠定基础
从业者们明确指出:成本持续攀升,数据噪声不断,分析师们淹没在管理开销之中。但SIEM并不会消失——它正在适应变化!通过全新架构与更智能的工作流正面应对这些挑战。不过在现代SOC架构中,SIEM不再是孤立的玩家。它正融入一个更大的生态系统,与管道、数据湖、自动化工作流以及SOAR、XDR等相邻平台相辅相成。以下简要总结推动SIEM平台现代化转型的原因:
成本问题
随着云应用的增长,数据量持续攀升,而传统 SIEM 的定价模式迫使企业不得不在监控可见性和成本控制之间做出抉择。
企业真正需要的解决方案:
降噪能力——有效区分有效信号与干扰信息
透明的定价模式,杜绝隐性成本膨胀
全面可见,不留盲区
长期保留且无额外惩罚成本
资源开销陷阱
传统 SIEM 系统资源消耗巨大,需要持续维护和专业人员投入才能维持运转。
企业真正需要的解决方案:
以最小手动设置实现快速部署
开箱即用的内容缩短价值实现时间
降低对专职检测工程人员的依赖
自动化减少日常运维负担
让分析师的时间专注于调查与响应
分析师的困境
一项行业研究显示,45%至80%的安全警报是误报——也就是说,每发现一个合法威胁,会伴随2到4个误报。研究还指出,分析师需要花费近三小时手动分类这些警报。
企业真正需要的解决方案:
降低告警疲劳 - 更精准的威胁信号识别
开箱即用的威胁检测内容,紧跟不断变化的威胁态势
轻松构建自定义威胁检测规则
提供清晰上下文引导的调查流程
真正减少重复性手工工作
市场变化与竞争趋势
2025 年,供应商们正在解决企业长期面临的这些传统工具问题,重新定义 SIEM 平台的形态。主要实现路径包括:
更聚焦安全数据管道建设
我们此前在《2025 市场指南:安全数据管道的崛起与 SIEM 的进化方向》报告中提到,安全数据管道平台正迅速成为SOC架构的核心组件。CrowdStrike收购Onum以及SentinelOne收购Observo AI的最新动态已印证这一点——这些收购凸显了厂商正朝着“管道优先”的方法迈进,以解决“冗余数据”和成本问题。
将安全数据管道平台(SDPPs)与 SIEM 架构耦合,通过解决传统架构的关键缺陷,使平台超越了传统 SIEM 的局限——
1.在数据摄入时进行过滤——传统SIEM平台在数据摄入时缺乏数据质量控制,导致存储和分析成本增加。与SDPPs集成可通过在数据存入SIEM存储前于源头过滤无用数据来弥合这一差距。
2.更广泛的数据采集范围——SDPPs 能与更多数据源实现集成,帮助扩展 SIEM 平台的数据整合覆盖面。
3.流式检测能力——通过支持数据流内实时检测,SDPPs 避免了存储索引和处理延迟,从而显著缩短平均检测时间(MTTD)。
4.更经济的存储方案——部分 SDPPs 内置数据湖和冷存储功能,为长期数据保留提供更具成本效益的选择。
5.避免供应商锁定——SDPPs 基于开放标准构建,允许数据路由至任意目标平台。与 SIEM 平台配合使用时,还能简化迁移流程。
解耦式 SIEM 架构的兴起
传统 SIEM 系统采用单一架构,没有分层设计,在一个堆栈中同时处理数据摄取、标准化和分析。如今,厂商正在推出存储与计算分离的解耦架构,为客户提供更高的成本控制灵活性。此类举措是否会降低定价或使架构变得复杂仍有待观察,但有一点是肯定的——它赋予了客户前所未有的选择灵活性。
数据湖正日益受到欢迎:微软的 Sentinel Data Lake、SentinelOne的 Singularity Data Lake、AWS Security Lake,以及现在 Splunk 的 Machine Data Lake 等。其目标是通过提供经济高效的方式长期存储数据,同时仍能以合理的速度进行分析,从而解决从业者的定价顾虑。在 SACR 看来,市场正处于过渡阶段:虽然数据湖变得越来越普遍,但它们仍大多与单一分析引擎耦合。
随着数据湖的出现,联邦搜索也应运而生。我们还看到“查询层”模型的兴起,正在重塑安全团队对SIEM中数据管理的思考方式。一些新兴平台(如Vega Security)不再强制将所有遥测数据存入昂贵的分析存储,而是通过构建技术无关的SIEM来突破这一限制——无论数据存放在哪里,都能跨数据源运行。理想情况下,这将创建一个生态系统,让组织可以选择最佳分析平台与最佳数据管理解决方案相结合。至少,它提供了灵活性,允许安全数据保留在任何环境中,包括隔离或高度监管的生态系统。
AI for the Analyst 分析师的人工智能
AI正从炒作走向实用。AI正大规模嵌入SIEM平台。其发展轨迹与安全编排、自动化和响应(SOAR)相似——SOAR最初是独立产品,后来被整合到SIEM中。多家厂商已展示了其平台中嵌入的成熟AI功能。
自然语言处理现已成为基础功能。更先进的AI功能包括——
自动化告警分类调查:AI 可汇总告警信息、串联时间线、评估风险等级并建议后续措施,有效缩短平均检测时间(MTTD)和平均响应时间(MTTR)。
引导式构建器与智能副驾:提供规则创建、狩猎方案设计和案件处理的逐步指导,加快团队上手速度并降低对专家的依赖。
剧本合成与无代码响应:将调查结果转化为可执行工作流,自动生成或推荐处置动作,大幅提升遏制与恢复效率。
这引发了关于未来的思考:专业 AI 安全运营厂商会保持独立品类,还是像 SOAR 被 SIEM 整合那样被收编?通过自然语言检测构建器、智能副驾和引导式工作流等技术,AI 正快速成为平台标配功能,旨在帮助分析师更快创建检测规则、更高效开展调查,并减少重复性分级处理的时间消耗。
新型定价模式与融合能力
其他 SIEM 平台正通过摒弃传统的基于数据摄入量的定价模式,来解决可见性与成本的矛盾。我们观察到基于集成数量的计费模式、按过滤后数据付费方案,以及定制化内部数据湖模型,这些方案旨在为安全负责人提供更可预测的成本,同时无需在可见性或数据留存上做出妥协。
SOAR 和 XDR 等能力被纳入 SIEM 生态已有时日,如今我们更看到它与周边平台的跨界融合,引入了 UEBA 和数据管道等功能。这种融合减少了工具泛滥,使团队能在统一工作流中完成检测、调查和响应。Sentinel 与 Microsoft Defender 的深度集成、Cortex XSIAM 与 XDR 的整合,以及其他厂商的类似举措,都表明 SIEM 正在演变为安全运营的核心操作层——它不再是一个独立产品,而是一个集检测、调查和响应于一体的平台。
评估方法
对安全领导者而言,问题已不再是是否要弃用传统 SIEM 系统,而是哪种现代化方案更适合未来发展。本报告分析了厂商如何重新定义 SIEM,并为 CISO 和安全团队提供洞察,帮助其应对转型并在未来十年做出明智决策。
我们深入研究了数家具有代表性的厂商,将这些趋势锚定在实际业务场景中。涉及的厂商按字母排序如下:
Anomali
Exabeam
Microsoft Sentinel
Palo Alto Networks Cortex XSIAM
Panther Labs
SentinelOne
Vega
为了评估这些安全信息和事件管理(SIEM)供应商如何应对传统 SIEM 方法所带来的顾虑,我们构建了一个基于实际运营需求和使用场景的结构化评估流程。每个平台都根据涵盖 SIEM 最重要功能、技术和运营方面的广泛标准进行了衡量。
免责声明
此次评估的目的并非对 SIEM 平台进行分级排名,而是着重展示各家厂商如何运用创新方法应对实践者面临的挑战,并推动现代安全运维的发展。
SIEM 市场演变——SACR 预测
展望未来,我们团队预测 SIEM 市场可能沿两条截然不同的路径发展——
解耦式分布式架构
第一条路径的核心是技术中立型解耦式 SIEM 平台的兴起。这类平台将作为安全分析应用层运作,能够查询和分析任意位置的数据——无论是存储在供应商数据湖、对象存储还是第三方环境中。该架构提供了灵活性、成本管控和选择自由度。部分厂商已开始采用这种模式,构建解耦存储与分析功能的联邦检测层,降低对单一技术栈的依赖。长远来看,此类架构或能让企业将顶尖分析能力与一流数据管理相结合,同时释放效率与创新潜能。
与 SDPP 的融合与捆绑
第二条路径是融合与捆绑。在这一趋势下,SIEM 日益成为更广泛安全生态系统的核心支柱,与安全数据管道平台(SDPP)、终端、身份、云及网络安全工具深度集成。CrowdStrike、Palo Alto Networks 和微软的举措正是这一战略的体现——它们将 SIEM 功能与 XDR、SOAR 及周边安全产品打包提供。对客户而言,这虽以灵活性和对单一供应商的深度依赖为代价,却创造了集成无缝、工作流统一、供应商管理简化的连贯生态系统。
两种方向虽然都针对从业者的痛点,却提供了截然不同的价值主张:开放选择与整合协同。市场很可能继续沿这两极分化,采购方将根据组织成熟度、风险偏好和技术理念做出阵营选择。
结论
SIEM 的未来不在于这项技术能否存续,而在于它如何自我革新。无论是通过解耦架构在分布式数据上灵活选择计算与存储位置的分析应用层,还是通过统一整个安全堆栈的紧密捆绑生态系统,SIEM 都将继续作为安全运营中心的核心。安全领导者面临的选择是:哪条路径更符合其愿景——追求最大灵活性与独立性,还是最大集成度与简约性。
原文链接:
https://softwareanalyst.substack.com/p/the-convergence-of-siems-and-data
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
