最新调查显示SIEM扩大在中型企业运用规模

据CSO在线报道，根据2010年中分别来自SANS和RSA的两份调查报告显示，SIEM技术更多地在中型企业得到了应用。

根据SANS Sixth Annual Log Management Survey Report for Mid-Sized Businesses，采访了200位来自小于2000人雇员的中小型企业人士，结果表明：
1）80%的人认为检测和保护是最关键的工作；
2）基于上述结果，用户需要他们的日志管理解决方案不仅仅是用来做合规与报表；
3）除了检测和保护，受访者认为日志对于历史和关联分析十分重要。超过 90%的人认为现在中型企业的需求变得比以往更加复杂，他们需要从日志管理中获得更多的价值。

其实，这个结论在中国更加显著。首先，合规本来就不是国内日志管理和SIEM市场的主要推动力（尽管是潜在重大推动力）；其次，国内市场由于尚未成熟，因而容易出现对技术需求夸大的情况。

另一项RSA独立进行的针对SIEM的调查显示，90%的受访者认为SIEM的关键用途是安全运维功能，而只有54%提及了合规。66%的认为在评估一个 SIEM供应商的时候，实时监控功能最为重要。超过75%的人认为SIEM中的实时监控功能必须具备的。
RSA在2010年Q1开展的这项调查，访问了50位来自全球15个国家、雇佣多至1万人的企业IT主管。

我认为这个调查对于国内市场而言，再次澄清了SIEM产品的一个重要功能——实时事件监控与分析功能。国内大部分SIEM/SOC产品在这方面做得还很不够，很多都是提供历史分析功能，也就是基于数据库的事件查询功能。实时事件分析与监控的核心就是要实时事件处理技术，包括实时事件采集、关联分析、展现等诸多方面，能够告知管理者当前网络中正在发生什么。