在Gartner 2020年度的SIEM魔力象限出来之前，我们先看看Forrester最新的安全分析平台（Security Analytics Platform）的厂商评估报告（Forrester Wave），发表于2020年12月1日。Forrester的SAP细分市场大致对应于Gartner宇宙的SIEM细分市场。

　　上一次Forrester发布SAP的厂商评估报告还是在2018年，时隔两年多，变化还是比较大的，因为最近几年正值SIEM/SOC/SAP领域翻天覆地的时代。

　　Forrester在此前的另一份报告《Now Tech: Security Analytics Platforms, Q3 2020》中给出了最新的SAP定义：

　　SAP构建在大数据基础设施之上，融合来自网络、身份、端点、应用和其它安全相关数据源的日志，产生高保真的行为告警，并促成快速的安全事件分析、调查与响应。

　　回顾一下Forrester首次定义SAP的时候，是在《Counteract Cyberattacks With Security Analytics》报告中：

　　SAP是一个构建在大数据架构之上的平台，它融合了来自包括SIM，（特定）安全解决方案，网络流数据，外部威胁情报和各种终端及应用的日志数据、关联数据和报表数据。SAP使用这些信息和机器学习技术为（用户）提供实时监测，促使（用户）更快速地事件检测、分析与响应。

　　对比一下，定义大致保持一致，并且现在的定义更加简洁。

　　注意：SAP不等于SA，SA（安全分析）是一种技术，不是一个细分产品市场！

　　Forrester认为当前SAP的三个核心用途是：

　　通过更好的网络可见性识别位置威胁

　　借助自动化告警分诊和响应推荐来支撑SOC分析师的工作

　　实现整个环境的编排化响应

　　显然，Forrester对SAP的定义外延比经典的SIEM更大，称作下一代的SIEM，更贴近我们现今对安管平台（或者SOC平台）的认知。当然，现在Gartner在分析SIEM市场的时候也早已不在局限于经典SIEM范围了，大家对市场的认识都在趋同。ESG的SOAPA也差不多是一个意思。

　　在Forrester看来，SOAR是SAP的核心能力，甚至以此来区分不同类型的SAP。此外，Forrester直接使用Gartner宇宙的SOAR术语，以替代原来的SAO。

　　小结一下，用我们通俗可以理解的话来描述，SAP = 大数据 + SIEM + SOAR + XDR + UEBA。

　　回到报告，2020年的Forrester Wave象限图如下：

　　对比一下2018年的Wave象限图：

　　可以看到，这个变化还是比较大的。

　　首先，AlienVault已经被AT&T收购，McAfee、Fortinet、Huntsman也没有上榜，而FireEye上榜了。

　　其次，微软凭借Azure Sentinel上榜，且位置突出，表明Forrester对Cloud SIEM（该术语来自Gartner）市场的重视。而Gartner目前还没有将Cloud SIEM纳入SIEM MQ考察范围。

　　最后，也是最重要的，维持入榜的厂商位置都发生了较大变化。IBM和Splunk两强领跑，LogRhythm退居二线，Securonix和Exabeam凭借UEBA（Forrester称之为SUBA）技术异军突起。

　　进一步来看，IBM和Splunk十分贴合Forrester对SAP的看法（也不好说是谁影响了谁），都是SIEM+SOAR的战略，都有云端SAP产品和服务，市场表现也很好。

　　LogRhythm虽也有SOAR和SaaS版，都这些能力表现都差强人意。不过这个报告没来及讲到的是，就在2021年1月13日，LogRhythm宣布收购云分析平台厂商MistNet，预计将重组其围绕看家的SIEM之上的XDR和Cloud SIEM技术/产品/市场战略。

　　Micro Focus的Arcsight在经历了数年的大滑坡后，也稍稍回血，先是2019年收购了Interset获得了UEBA技术，然后在2020年7月收购了ATAR Labs获得了SOAR技术，总算是面子上追了回来，但整合的如何尚未可知。而且Forrester认为Arcsight拥抱云相较于其它几个大厂而言太晚了点。

　　顺带提一下，Micro Focus旗下的Arcsight退步是有目共睹，但Forrester还算手下留情，给它放到的第二档，而Gartner则狠心将其放到了2019年度MQ的第四档。

　　Forrester对SAP的主要观点

　　Forrester认为，SAP的未来在云端，因为用户的工作负载在向云端迁移，而且云端具有存储极易扩容、轻松上规模、稳定可靠等特点，另外云端SAP的软件开发与发布更高效。从实际市场来看，Forrester发现主流的SAP厂商都开始提供Cloud SIEM。

　　微软的Azure Sentinel可谓云原生SAP，走到了GCP Chronicle前面。

　　IBM凭借QRadar和Resilient上榜，同时Forrester也提到了IBM的CloudPak for Security Platform，作为其向云转战的标志。

　　Spunk凭借ES和Phantom上榜，同时其面向云的Misson Control受到关注。

　　Securonix也推出了基于SaaS的多租户版SAP。

　　Forrester给选择SAP的客户提了4点建议，也就是SAP应具备的4个关键能力：

　　1）客户定制化能力，特指分析内容，分析场景和分析模型的自定义；

　　2）分析与自动化响应一体化，不仅能够发现问题，还能帮助解决问题；

　　3）把MITRE的ATT&CK框架作为安全运行的一部分，贯穿检测、调查和猎捕的各个环节；

　　4）具备XDR的愿景，能够将EDR很好的整合到安全分析中来。

　　Forrester在评估SAP厂商技术能力的时候，考量的维度包括：部署模式和数据架构、可见性、关联分析能力、威胁检测能力、ATT&CK映射、定制化检测能力、安全编排能力、合规性、平台使用体验、分析能力、风险评分与优先级划分能力。