过去 18~24 个月里,风险资本集中涌入了一批新的 SIEM 挑战者,包括 Vega(种子轮与 A 轮合计融资 6500 万美元,估值约 4 亿美元)、Perpetual Systems、RunReveal、Iceguard、Sekoia、Cybersift、Ziggiz 以及 Abstract Security。它们共同将自己定位为“下一代安全分析平台”。
把这些公司拧在一起的,不只是融资速度,而是一套高度一致的叙事:传统 SIEM 已经从根上坏掉了——成本高得离谱、系统割裂严重、难以扩展,在当今数据洪流和 AI 驱动的威胁面前几乎失效。
本文不会逐一点评这些初创公司的产品,而是抽象出支撑这轮融资热潮的共同论点,并对这些论点逐一施压,看看哪些站得住脚。
这不是为传统厂商辩护。目的只有一个:把真实存在的结构性问题,与纯粹服务于市场和融资的叙事区分开来。
“SIEM 已经过时了”的叙事
业内常被引用的一份报告称:主流 SIEM 工具对 MITRE ATT&CK 技术的覆盖率只有约 **19%**,而它们所能获取的数据理论上可支撑 **约 87%** 的覆盖。这组数据在技术上“看起来很有冲击力”,但在逻辑上却**高度误导**。
原因很简单:ATT&CK 技术覆盖率并不是一个真正的**运营级检测指标**,更不能直接代表检测效果或安全能力。它更多反映的是**规则库存数量**以及**检测规则的调优投入**,而不是 SIEM 本身的能力上限。
但即便如此,这个数字依然被反复引用,逐渐演变成“SIEM 已经过时”的核心论据之一。
坦率地说,我并未找到这份报告的原始版本,无法核实其具体测试方法、假设前提或评估边界。但在实际环境中,我见过覆盖率远高于这一水平的 SIEM 部署,也见过拥有**专职、大规模检测工程团队**、持续维护和扩展 ATT&CK 覆盖的组织。
问题不在于 SIEM 能不能做到,而在于是否有人愿意、是否有资源去把它做好。
支撑市场叙事的五个核心主张
在路演材料、媒体采访和市场文案中,这一代 SIEM 新挑战者反复强调几件事:传统厂商哪里“错了”,以及资本为什么相信他们代表未来。我把这些观点抽象成五条反复出现的核心主张。
1.「集中式 SIEM 架构已经无法扩展」
核心论点是:把所有安全遥测数据强行灌进一个集中仓库,在每天产生 TB 级日志的现代企业中,既昂贵又低效。给出的“解法”包括:联邦查询、数据就地分析、检测与数据摄取解耦,从而避免搬运和复制全部数据。
问题在于:关联分析、状态管理、时间线构建和实时检测,本质上都需要数据的“局部性”。
分布式查询引擎擅长的是即席分析,而不是持续运行的检测流水线。联邦查询带来的,是每写一条检测规则就多一层延迟、不稳定性能和复杂性。把规范化推迟到查询时,只是把复杂度塞进了每一条规则里。
成本并没有消失,只是被转移成在事件发生时骤然飙升的计算与查询成本。
集中化不是缺陷,而是一种权衡:它支撑了关联引擎、摘要索引、实体时间线和有状态检测——这些恰恰是分布式查询模型最难实时维持的能力。事实上,即便把数据存放在客户自己的 S3 里,成本也并非不可控。
2.「按数据量计费的 SIEM 定价模式是坏的」
常见说法是:按摄取量收费惩罚了“良好的安全实践”,数据越多,账单越失控。新方案宣称与数据量脱钩,采用开放存储、客户自控计算资源。
现实是:你可以隐藏数据量,但无法消灭成本。
计算、内存、富化、存储周期、查询——一个都少不了。只要不按摄取量收费,成本通常会以另一种形式回来:不可预测的查询费用、使用量分级、功能门槛。
数据量不是随意选的指标,它高度相关于厂商(或客户)实际承担的成本。假装成本与数据量无关,只会让你看不见最核心的成本驱动因素。
我几乎见过所有定价模式:按用户、按设备、按数据量……最后都要回到一个现实问题——毛利怎么做?答案大家都心知肚明。
3.「SIEM 检测能力弱,是因为规则太烂」
新玩家常把传统 SIEM 规则描绘成:噪声大、静态、跟不上现代攻击技术。对应的“创新”包括自然语言检测、Detection-as-Code、持续评估、AI 自动生成规则。
问题在于:这些东西大多仍建立在同一套底层原语之上。
以 SIGMA 为例,它被广泛用于社区检测规则,但先天受限:基本是单事件匹配,无法表达事件顺序和因果关系,没有原生时间抽象或实体建模,也无法直接表达阈值、速率、基数或统计基线。
给这些限制包一层 AI 或“自然语言”,并不会改变检测的物理规律。你可以改善写规则的体验,但并没有发明一种新的检测范式。
更现实的一点是:大型厂商早就有规模庞大的检测工程团队,并且直接连接威胁研究实验室。若初创公司真能用更低成本做出更高质量的检测内容,那这些大厂多年投入的团队才是真正的不理性。
4.「SIEM 缺乏上下文,导致大量误报」
这一论点认为,现有 SIEM 缺少资产上下文、威胁情报或行为理解,因此把分析师淹没在告警噪声中。新方案承诺深度集成 TI、云上下文或内置行为分析。
但上下文整合本身并不新,这一直是传统平台多年的重点。真正困难的不是“拿到上下文”,而是在不淹死分析师的前提下把它用起来。
更多情报源,往往意味着更多噪声——除非你已经具备成熟的富化流水线、实体解析能力和风险评分机制,并且规则本身理解多阶段攻击链。
上下文问题,和规则质量、用例选择的关系,并不比和“有没有情报源”的关系小。威胁情报的质量问题,同样适用于这里。
5.「AI 原生 SIEM 将彻底修复检测与响应」
最具诱惑力的说法是:传统 SIEM 生于“前 AI 时代”,而全栈 Agentic AI 的新平台,将第一次真正解决自动化、检测和调查。
现实是:AI 并不能替代高质量、结构化、规范化的数据,也不能替代可解释性和确定性行为,尤其是在高风险场景下。
AI 可以加速流程、辅助调查、提出假设,但它无法取代精确、可复现、可审计的检测逻辑。
当下大多数“AI 原生”的改进,更多体现在 UX 和效率上,而非检测理论或体系结构上的根本突破。
归根结底,这五个主张并非全然错误,但它们被市场叙事过度放大。真正的问题,往往比“SIEM 已死”要复杂得多。
一个不那么讨喜的结论
风险资本持续流入,并不是因为 SIEM 已被成功颠覆,而是因为 SIEM 在运营层面确实难、确实贵,也确实常常不受 SOC 团队欢迎。这些痛点是真实存在的,缺口也客观存在,尤其集中在成本透明度、规模扩展能力以及可用性上。
但因为“不完美”就宣告现有 SIEM 已经过时,这并不是一个投资论断,而更像一句营销口号。支撑这轮融资浪潮的核心假设,值得被逐一审视:
集中化被简单地视为缺陷,而不是为了持续检测所必须接受的结构性权衡;
对定价模式的不满,被混同为架构层面的洞见;
检测质量的问题,被归咎于工具本身,而非真实的运营复杂性;
而 AI,则被过度夸大为包治百病的万能解法。
换个角度看,仍有几条值得认真关注的方向:
1.部分新进入者确实在 SIEM 上“打出了效果”。它们从零开始重建完整的数据管道和存储架构,采用的是现代技术,而非延续旧有范式。没有数百万行技术债需要背负,本身就是明显优势。在这样的基础之上,引入 Agentic AI 架构,确实可能产生一些有意思的变化。
2.随着 AI SOC 的出现——并且也许逐步成为现实——我们可能会看到越来越多 MCP Server 对外暴露可被利用的基础设施信息,从告警、上下文到响应能力。但前提仍然是:数据 Schema 以及整体数据模型将如何演进,还有待观察。
3.目前唯一已经为投资人带来可验证回报的创新,其实发生在数据管道层。像 Observo 这样的公司(我曾有幸担任其顾问),确实为 SIEM 体系补上了一块真正有价值的能力。正如我在此前文章中所论述的,这类能力不应只是附加组件,而应成为每一个 SIEM 的内建能力。
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
