在Gartner 2020年度的SIEM魔力象限出來之前，我們先看看Forrester最新的安全分析平臺（Security Analytics Platform）的廠商評估報告（Forrester Wave），發(fā)表于2020年12月1日。Forrester的SAP細分市場大致對應(yīng)于Gartner宇宙的SIEM細分市場。

　　上一次Forrester發(fā)布SAP的廠商評估報告還是在2018年，時隔兩年多，變化還是比較大的，因為最近幾年正值SIEM/SOC/SAP領(lǐng)域翻天覆地的時代。

　　Forrester在此前的另一份報告《Now Tech: Security Analytics Platforms, Q3 2020》中給出了最新的SAP定義：

　　SAP構(gòu)建在大數(shù)據(jù)基礎(chǔ)設(shè)施之上，融合來自網(wǎng)絡(luò)、身份、端點、應(yīng)用和其它安全相關(guān)數(shù)據(jù)源的日志，產(chǎn)生高保真的行為告警，并促成快速的安全事件分析、調(diào)查與響應(yīng)。

　　回顧一下Forrester首次定義SAP的時候，是在《Counteract Cyberattacks With Security Analytics》報告中：

　　SAP是一個構(gòu)建在大數(shù)據(jù)架構(gòu)之上的平臺，它融合了來自包括SIM，（特定）安全解決方案，網(wǎng)絡(luò)流數(shù)據(jù)，外部威脅情報和各種終端及應(yīng)用的日志數(shù)據(jù)、關(guān)聯(lián)數(shù)據(jù)和報表數(shù)據(jù)。SAP使用這些信息和機器學習技術(shù)為（用戶）提供實時監(jiān)測，促使（用戶）更快速地事件檢測、分析與響應(yīng)。

　　對比一下，定義大致保持一致，并且現(xiàn)在的定義更加簡潔。

　　注意：SAP不等于SA，SA（安全分析）是一種技術(shù)，不是一個細分產(chǎn)品市場！

　　Forrester認為當前SAP的三個核心用途是：

　　通過更好的網(wǎng)絡(luò)可見性識別位置威脅

　　借助自動化告警分診和響應(yīng)推薦來支撐SOC分析師的工作

　　實現(xiàn)整個環(huán)境的編排化響應(yīng)

　　顯然，F(xiàn)orrester對SAP的定義外延比經(jīng)典的SIEM更大，稱作下一代的SIEM，更貼近我們現(xiàn)今對安管平臺（或者SOC平臺）的認知。當然，現(xiàn)在Gartner在分析SIEM市場的時候也早已不在局限于經(jīng)典SIEM范圍了，大家對市場的認識都在趨同。ESG的SOAPA也差不多是一個意思。

　　在Forrester看來，SOAR是SAP的核心能力，甚至以此來區(qū)分不同類型的SAP。此外，F(xiàn)orrester直接使用Gartner宇宙的SOAR術(shù)語，以替代原來的SAO。

　　小結(jié)一下，用我們通俗可以理解的話來描述，SAP = 大數(shù)據(jù) + SIEM + SOAR + XDR + UEBA。

　　回到報告，2020年的Forrester Wave象限圖如下：

　　對比一下2018年的Wave象限圖：

　　可以看到，這個變化還是比較大的。

　　首先，AlienVault已經(jīng)被AT&T收購，McAfee、Fortinet、Huntsman也沒有上榜，而FireEye上榜了。

　　其次，微軟憑借Azure Sentinel上榜，且位置突出，表明Forrester對Cloud SIEM（該術(shù)語來自Gartner）市場的重視。而Gartner目前還沒有將Cloud SIEM納入SIEM MQ考察范圍。

　　最后，也是最重要的，維持入榜的廠商位置都發(fā)生了較大變化。IBM和Splunk兩強領(lǐng)跑，LogRhythm退居二線，Securonix和Exabeam憑借UEBA（Forrester稱之為SUBA）技術(shù)異軍突起。

　　進一步來看，IBM和Splunk十分貼合Forrester對SAP的看法（也不好說是誰影響了誰），都是SIEM+SOAR的戰(zhàn)略，都有云端SAP產(chǎn)品和服務(wù)，市場表現(xiàn)也很好。

　　LogRhythm雖也有SOAR和SaaS版，都這些能力表現(xiàn)都差強人意。不過這個報告沒來及講到的是，就在2021年1月13日，LogRhythm宣布收購云分析平臺廠商MistNet，預(yù)計將重組其圍繞看家的SIEM之上的XDR和Cloud SIEM技術(shù)/產(chǎn)品/市場戰(zhàn)略。

　　Micro Focus的Arcsight在經(jīng)歷了數(shù)年的大滑坡后，也稍稍回血，先是2019年收購了Interset獲得了UEBA技術(shù)，然后在2020年7月收購了ATAR Labs獲得了SOAR技術(shù)，總算是面子上追了回來，但整合的如何尚未可知。而且Forrester認為Arcsight擁抱云相較于其它幾個大廠而言太晚了點。

　　順帶提一下，Micro Focus旗下的Arcsight退步是有目共睹，但Forrester還算手下留情，給它放到的第二檔，而Gartner則狠心將其放到了2019年度MQ的第四檔。

　　Forrester對SAP的主要觀點

　　Forrester認為，SAP的未來在云端，因為用戶的工作負載在向云端遷移，而且云端具有存儲極易擴容、輕松上規(guī)模、穩(wěn)定可靠等特點，另外云端SAP的軟件開發(fā)與發(fā)布更高效。從實際市場來看，F(xiàn)orrester發(fā)現(xiàn)主流的SAP廠商都開始提供Cloud SIEM。

　　微軟的Azure Sentinel可謂云原生SAP，走到了GCP Chronicle前面。

　　IBM憑借QRadar和Resilient上榜，同時Forrester也提到了IBM的CloudPak for Security Platform，作為其向云轉(zhuǎn)戰(zhàn)的標志。

　　Spunk憑借ES和Phantom上榜，同時其面向云的Misson Control受到關(guān)注。

　　Securonix也推出了基于SaaS的多租戶版SAP。

　　Forrester給選擇SAP的客戶提了4點建議，也就是SAP應(yīng)具備的4個關(guān)鍵能力：

　　1）客戶定制化能力，特指分析內(nèi)容，分析場景和分析模型的自定義；

　　2）分析與自動化響應(yīng)一體化，不僅能夠發(fā)現(xiàn)問題，還能幫助解決問題；

　　3）把MITRE的ATT&CK框架作為安全運行的一部分，貫穿檢測、調(diào)查和獵捕的各個環(huán)節(jié)；

　　4）具備XDR的愿景，能夠?qū)DR很好的整合到安全分析中來。

　　Forrester在評估SAP廠商技術(shù)能力的時候，考量的維度包括：部署模式和數(shù)據(jù)架構(gòu)、可見性、關(guān)聯(lián)分析能力、威脅檢測能力、ATT&CK映射、定制化檢測能力、安全編排能力、合規(guī)性、平臺使用體驗、分析能力、風險評分與優(yōu)先級劃分能力。