在Gartner 2020年度的SIEM魔力象限出來之前，我們先看看Forrester最新的安全分析平臺（Security Analytics Platform）的廠商評估報告（Forrester Wave），發表于2020年12月1日。Forrester的SAP細分市場大致對應于Gartner宇宙的SIEM細分市場。

　　上一次Forrester發布SAP的廠商評估報告還是在2018年，時隔兩年多，變化還是比較大的，因為最近幾年正值SIEM/SOC/SAP領域翻天覆地的時代。

　　Forrester在此前的另一份報告《Now Tech: Security Analytics Platforms, Q3 2020》中給出了最新的SAP定義：

　　SAP構建在大數據基礎設施之上，融合來自網絡、身份、端點、應用和其它安全相關數據源的日志，產生高保真的行為告警，并促成快速的安全事件分析、調查與響應。

　　回顧一下Forrester首次定義SAP的時候，是在《Counteract Cyberattacks With Security Analytics》報告中：

　　SAP是一個構建在大數據架構之上的平臺，它融合了來自包括SIM，（特定）安全解決方案，網絡流數據，外部威脅情報和各種終端及應用的日志數據、關聯數據和報表數據。SAP使用這些信息和機器學習技術為（用戶）提供實時監測，促使（用戶）更快速地事件檢測、分析與響應。

　　對比一下，定義大致保持一致，并且現在的定義更加簡潔。

　　注意：SAP不等于SA，SA（安全分析）是一種技術，不是一個細分產品市場！

　　Forrester認為當前SAP的三個核心用途是：

　　通過更好的網絡可見性識別位置威脅

　　借助自動化告警分診和響應推薦來支撐SOC分析師的工作

　　實現整個環境的編排化響應

　　顯然，Forrester對SAP的定義外延比經典的SIEM更大，稱作下一代的SIEM，更貼近我們現今對安管平臺（或者SOC平臺）的認知。當然，現在Gartner在分析SIEM市場的時候也早已不在局限于經典SIEM范圍了，大家對市場的認識都在趨同。ESG的SOAPA也差不多是一個意思。

　　在Forrester看來，SOAR是SAP的核心能力，甚至以此來區分不同類型的SAP。此外，Forrester直接使用Gartner宇宙的SOAR術語，以替代原來的SAO。

　　小結一下，用我們通俗可以理解的話來描述，SAP = 大數據 + SIEM + SOAR + XDR + UEBA。

　　回到報告，2020年的Forrester Wave象限圖如下：

　　對比一下2018年的Wave象限圖：

　　可以看到，這個變化還是比較大的。

　　首先，AlienVault已經被AT&T收購，McAfee、Fortinet、Huntsman也沒有上榜，而FireEye上榜了。

　　其次，微軟憑借Azure Sentinel上榜，且位置突出，表明Forrester對Cloud SIEM（該術語來自Gartner）市場的重視。而Gartner目前還沒有將Cloud SIEM納入SIEM MQ考察范圍。

　　最后，也是最重要的，維持入榜的廠商位置都發生了較大變化。IBM和Splunk兩強領跑，LogRhythm退居二線，Securonix和Exabeam憑借UEBA（Forrester稱之為SUBA）技術異軍突起。

　　進一步來看，IBM和Splunk十分貼合Forrester對SAP的看法（也不好說是誰影響了誰），都是SIEM+SOAR的戰略，都有云端SAP產品和服務，市場表現也很好。

　　LogRhythm雖也有SOAR和SaaS版，都這些能力表現都差強人意。不過這個報告沒來及講到的是，就在2021年1月13日，LogRhythm宣布收購云分析平臺廠商MistNet，預計將重組其圍繞看家的SIEM之上的XDR和Cloud SIEM技術/產品/市場戰略。

　　Micro Focus的Arcsight在經歷了數年的大滑坡后，也稍稍回血，先是2019年收購了Interset獲得了UEBA技術，然后在2020年7月收購了ATAR Labs獲得了SOAR技術，總算是面子上追了回來，但整合的如何尚未可知。而且Forrester認為Arcsight擁抱云相較于其它幾個大廠而言太晚了點。

　　順帶提一下，Micro Focus旗下的Arcsight退步是有目共睹，但Forrester還算手下留情，給它放到的第二檔，而Gartner則狠心將其放到了2019年度MQ的第四檔。

　　Forrester對SAP的主要觀點

　　Forrester認為，SAP的未來在云端，因為用戶的工作負載在向云端遷移，而且云端具有存儲極易擴容、輕松上規模、穩定可靠等特點，另外云端SAP的軟件開發與發布更高效。從實際市場來看，Forrester發現主流的SAP廠商都開始提供Cloud SIEM。

　　微軟的Azure Sentinel可謂云原生SAP，走到了GCP Chronicle前面。

　　IBM憑借QRadar和Resilient上榜，同時Forrester也提到了IBM的CloudPak for Security Platform，作為其向云轉戰的標志。

　　Spunk憑借ES和Phantom上榜，同時其面向云的Misson Control受到關注。

　　Securonix也推出了基于SaaS的多租戶版SAP。

　　Forrester給選擇SAP的客戶提了4點建議，也就是SAP應具備的4個關鍵能力：

　　1）客戶定制化能力，特指分析內容，分析場景和分析模型的自定義；

　　2）分析與自動化響應一體化，不僅能夠發現問題，還能幫助解決問題；

　　3）把MITRE的ATT&CK框架作為安全運行的一部分，貫穿檢測、調查和獵捕的各個環節；

　　4）具備XDR的愿景，能夠將EDR很好的整合到安全分析中來。

　　Forrester在評估SAP廠商技術能力的時候，考量的維度包括：部署模式和數據架構、可見性、關聯分析能力、威脅檢測能力、ATT&CK映射、定制化檢測能力、安全編排能力、合規性、平臺使用體驗、分析能力、風險評分與優先級劃分能力。