介绍
在当今高度互联的数字时代,企业面临着层出不穷的网络风险、监管要求以及日益复杂的IT环境。传统的本地安全体系已难以为继。托管SIEM服务市场应运而生,第三方供应商通过外包SIEM工具和服务,承担全天候日志监控、威胁关联、事件响应、分析和合规性报告等职责。
预计托管 SIEM 服务市场在2025-2031 年预测期内的复合年增长率将达到 17.0%。
增长战略
产品和平台创新:通过云原生架构增强 SIEM 平台,结合 AI/ML 进行复杂的威胁检测、SOAR(安全编排、自动化和响应)工作流、UBA(用户行为分析)、威胁情报源和混合/多云日志记录支持。
云与混合部署模式:如今,大多数客户都需要基于订阅的 SIEM 产品、按需付费的日志提取以及混合云/本地部署模式。正如一篇文章所指出的,“基于云的 SIEM 正在兴起……能够加快调查速度、实现自动化并提高可扩展性。”
外包托管服务/MSSP 合作伙伴关系:由于大多数公司没有员工或资源来运行全天候 SOC(安全运营中心),因此提供商与 MSSP(托管安全服务提供商)合作或成为 MSSP,提供全面托管的 SIEM、MDR(托管检测和响应)和 SOC 即服务。
地理和垂直扩展:企业专注于服务不足的地区(亚太地区、拉丁美洲)和合规性要求较高的行业垂直领域(银行/金融、医疗保健、政府)。
战略联盟和收购:许多供应商正在收购或与小型专家(威胁情报、行为分析、云日志)合作,以增强他们的托管服务。
获取示例报告:https://www.theinsightpartners.com/sample/TIPRE00039516
未来趋势与机遇
基于人工智能/机器学习的分析和自动化:机器学习在识别零日攻击、内部滥用、异常用户行为以及降低误报方面的应用日益增多。例如:“基于人工智能的威胁情报增强实时安全监控”被认为是一个重要趋势。
零信任/安全网格/XDR 集成: SIEM 正在超越日志管理,与更广泛的生态系统进行整合:身份访问管理 (IAM)、端点检测和响应 (EDR)、XDR(扩展检测和响应)、安全网格架构。
云原生和 SaaS 交付:随着企业云迁移的不断增加,提供可扩展性、多租户提取、自动响应和降低前期成本的托管 SIEM 服务将变得流行。
中小企业和中型市场采用:传统上,SIEM 是大型企业的专属领域,但由于缺乏内部能力,小型企业越来越多地将 SIEM 外包。基于云的托管交付降低了进入门槛。
监管与合规顺风:随着数据隐私法规的传播(GDPR、CCPA、行业授权),日志管理、审计跟踪、实时警报和事件响应成为推动机遇的业务必需品。
新兴技术面:物联网、5G、OT(运营技术)、边缘计算均增加了攻击面;托管 SIEM 提供商可以在这些不同的环境中提供统一的可见性。
新兴地区参与者的机会:亚太、中东和非洲的大多数组织的 SIEM 能力仍不成熟,因此托管产品具有巨大的增长空间。
主要细分市场
按应用
日志管理和报告
威胁情报
安全分析
按类型
完全托管
共同管理
按部署模式
云
本地部署
按组织规模
大型企业
中小企业
主要参与者和最新进展
IBM
IBM 凭借其 QRadar 平台和广泛的企业安全产品组合,在 SIEM 市场拥有悠久的历史。最新进展包括:
2023 年 11 月,IBM 重新构想了 QRadar SIEM 产品线,采用云原生架构,实现混合云的可扩展性、速度和灵活性。
IBM 正在通过其 Watson x AI 平台将生成式 AI 功能添加到其威胁检测和响应产品组合中。
这些举措使 IBM 能够增强其在云和混合环境中的托管 SIEM 服务解决方案。
美国电话电报公司
AT&T 于 2023 年 11 月宣布,将与 WillJam Ventures 合作成立一家独立的托管网络安全服务公司。AT&T 拥有该公司的董事会席位和所有权。目标:将网络嵌入式安全与全球托管安全服务提供商 (MSSP) 能力相结合。
2024 年 5 月,AT&T 的网络安全业务更名为 LevelBlue,这是一家致力于托管安全服务、SOC 运营、咨询和威胁情报的合资企业。
这些举措反映了 AT&T 计划集中精力于 MSSP/托管 SIEM 服务,特别是针对中小型企业和网络嵌入式安全。
威瑞森
2025年3月,Verizon Business与埃森哲达成战略合作,为企业提供IAM、MxDR(Managed XDR)和网络风险服务等先进的网络安全服务。
2024 年 9 月,Verizon Business 还与 Monumental Sports & Entertainment 合作,为体育/娱乐资产提供托管安全信息和事件管理 (MSIEM) 和快速响应保留 (RRR) 服务。
这些举措反映了 Verizon 向联合管理 SIEM/分析 + 咨询领域的扩张,重点关注大型企业和垂直领域。
结论
托管 SIEM 服务市场无疑正处于增长期。随着网络威胁的复杂性日益增加,以及内部 SOC 资源的紧张,越来越多的企业将 SIEM 管理移交给经验丰富的提供商。云原生、人工智能驱动和外包模式使 SIEM 比以往任何时候都更加灵活、响应迅速且易于访问。
在分析、自动化、云/混合云支持以及特定行业合规性方面表现优异的提供商将获得巨大的价值。对于企业而言,与托管 SIEM 提供商合作提供了一种经济实惠的途径,无需建立完整的内部能力即可改善安全态势、持续监控和事件响应。
简而言之:如果您的组织正在应对安全操作疲惫、日志提取负载或混合云信噪比问题,托管 SIEM 是一种值得立即考虑的战略控制——未来几年对于提供商和客户来说都是光明的。
常见问题 (FAQ)
传统 SIEM 和托管 SIEM 服务之间有什么区别?
传统 SIEM 通常意味着在本地部署日志采集、关联和警报软件,由组织自己的 SOC 运营。托管 SIEM 服务则将大部分这些任务(日志采集、监控、分析、全天候 SOC 运营)以订阅的方式转移给第三方提供商。“托管”解决方案可降低初始成本和人员负担,并加快价值实现速度。
哪些类型的组织可以从托管 SIEM 中获益?
几乎任何对安全性、合规性或日志可见性感兴趣的组织都可以从中受益,尤其是中型公司或转向云/混合模型的企业、没有内部 SOC 人员的组织,或需要日志记录、审计跟踪和事件响应的受监管企业(金融、医疗保健、政府)。
基于云的托管 SIEM 服务是否足够安全?
是的,目前大多数提供商都提供云端或混合云平台的日志采集、分析和响应服务,并具备加密、多租户隔离和 SOC 监控功能。云部署具有可扩展性、更快的部署速度,并且在许多情况下可以降低总体拥有成本。然而,企业需要评估数据主权、供应商信任、采集价格以及其特定环境中的集成情况。
选择托管 SIEM 提供商时,我应该考虑哪些重要功能?
搜索:24/7 SOC 监控和即时事件响应;与云/混合基础设施和端点的集成;高级分析(AI/ML、UBA、威胁搜寻);灵活部署(完全托管与共同托管);强大的合规性报告;可扩展性;透明定价;以及提供商在安全服务方面的声誉。
未来 3 至 5 年托管 SIEM 市场将会如何发展?
预计将持续保持两位数的复合年增长率(15-18%),向云/SaaS 交付的迁移将有所增加,人工智能/自动化深度将有所提升,向 XDR/SOAR/Mesh 架构的融合将有所加强,中小企业的采用率将有所提升,以及垂直领域特定的托管 SIEM 解决方案(例如 OT/IoT、5G/边缘计算)。此外,供应商之间以及电信、云服务提供商和托管服务提供商 (MSSP) 之间也将出现整合。
