台媒关于近期SIEM市场的一个综述

近期的SIEM市场的确是比较热门，于是台湾的资安人写了一个综述，转载如下：

APT攻�襞c法�加持 SIEM前景看好
作者：���S君 -10/17/2011

近期�Y安事件管理平台(SIEM, Security Information Event Management)�S商倍受�目。本月初，McAfee�cIBM不�s而同���SIEM�S商，分�e是NitroSecurity以及Q1 Labs。�@�杉以诮衲�5月出�t的Gartner SIEM魔�g象限�蟾嬷校�都位於�I先者象限中。

根��Gartner的分析�蟾嬷赋觯��娜ツ暌��SIEM市�霰憩F亮眼，成�L幅度�_15%。主要是受惠於法�遵循的需求，尤其是PCI-DSS，美��企�I希望倚�SIEM�a品的�蟊矸治龉δ堋６�台�呈�鲆灿型��忧樾危�拜���Y法所�n，日�I管理�a品(�凫�SIEM的部份模�M)也需求���度大增。

然而，有�蟊矸治龉δ苓�不�颉ｋS著越�碓蕉嘞冗M持�m威�{(APT)攻�舭咐�浮上��面，企�I更寄望SIEM能有效�l�]�Y安事件示警功能。EMC旗下RSA於今年4月��憔W路封包�a�R�S商NetWitness，希望借用NetWitness的封包��y分析能力�cenVision整合，�磉_到APT��y。日前在英����敦�e行的RSA Conference Europe 2011中，RSA�绦兄飨�Art Coviello就替自家�a品�V告，��Q去年3月RSA 被��е�SecureID�J�C系�y�Y料�z失事件，是靠NetWitness的�O控才得以�M速�a��。

SIEM�c封包�a�R�a品�Y合不止�@一�叮�已�{入HP麾下的ArcSight在上��月也�cSolera Networks合作，在最新版的ArcSight中已提高�c DeepSee的整合程度。

但是，要能��yAPT攻�粽�何容易，有好的工具�不�颉８���Dark Reading的��В�要�SIEM�l�F疑似�窝b成合法�T工的��常存取行�椋�企�I必�先能定�x何�^正常的行�槟Ｊ剑��Π部厝�T�碚f，SIEM系�y的�M�B�O定�⒏��橹匾�。

最后可能大家会问，怎么回事？SIEM和APT连到了一起？这两个东东在一起靠谱吗？呵呵，别急，以后会给我的观点。可以看看这个文章先。