國內網絡安全信息與事件管理類產品研究與測試報告（2021年）前言安全運營是企業(yè)對于網絡安全工作的有效管理和高效輸出。隨

著企業(yè)規(guī)模變大、面臨的威脅環(huán)境更為復雜，如何通過有限的人員

對數量龐大的安全事件進行管理與快速響應，如何更精確的度量當

前的關鍵安全指標，如何將安全工作與業(yè)務有效結合更好地賦能業(yè)

務，這是安全運營不斷發(fā)展、優(yōu)化的意義所在。隨著業(yè)界對安全運營活動的認知逐漸改變，用戶行為分析、安

全編排自動化與響應、威脅情報等等，都被列入安全運營的核心需

求。總體來看，安全運營的發(fā)展過程是一個技術不斷融合、內涵不

斷豐富的過程，當下以及未來一段時期內的安全運營將會是以

SIEM1/SOCF2為核心，結合大數據分析、機器學習、人工智能技術，融

合更多運營功能，形成新一代安全運營服務。如果將安全產品與技術作為企業(yè)安全工作的輸入，那么良好的

安全事件運營則是企業(yè)安全能力的穩(wěn)定輸出。而現在，日益復雜的

安全事件與落后的安全運營能力成為了現階段安全建設中的主要矛

盾。安全建設的輸入和輸出處于非常不對等的情況。對企業(yè)而言，安全管理及運營涉及方方面面，不僅僅從單點去

考慮，還需要從企業(yè)整體安全運維的角度，根據不同的安全側重點，

體系化分類管理安全事件，做到事件管理標準化、關聯信息詳實化、

人員/工具定位精準化，這樣才可以做到高效安全響應。為了更好地滿足基礎電信和互聯網、金融、能源和醫(yī)療等行業(yè)

用戶在

5G網絡、云計算、物聯網等新型業(yè)務場景下的實際需要，為

其在網絡安全產品能力選型中提供技術參考，中國信息通信研究院

（以下簡稱“中國信通院”）安全研究所聯合

FreeBuf咨詢共同完

成了此次

SIEM/SOC類產品調研和測試工作。本次測試主要是針對當前行業(yè)內主流企業(yè)的產品進行技術能力

測試，測試內容和角度覆蓋全面且廣泛，測試內容包括產品功能、

性能以及自身安全測試，覆蓋數十種技術能力指標測試項。本次測

試是對各企業(yè)的

SIEM/SOC類產品的“能力拔高測試”，以體現該產

品在某一個技術能力領域的硬核實力。測試方案內容不僅基于現有

相關標準，并且依據

Gartner對

SIEM/SOC的能力定義以及綜合國內

各安全企業(yè)最佳實踐。到報名截止日期

2020

年

10

月

23

日為止，共

有

20

款產品報名，符合測試要求的

14

款產品參與此次驗證評估。本報告由中國信通院安全研究所對國內主流

SIEM/SOC類產品

進行基本面測試評估，并輸出整體測試、分析結果與整體報告。由

FreeBuf咨詢通過現場走訪、資料整合及問卷調查的形式，對國內

外近百家企業(yè)的使用情況進行對比分析，并深入總結國內

SIEM/SOC類產品的基本現狀，并嘗試對其發(fā)展趨勢進行評估和預測，為企業(yè)

安全建設提供有效參考，提升安全運營與響應能力。安全運營的演變與發(fā)展（一）安全運營的定義根據

2014

年美國

NISTF3發(fā)布的

CybersecurityFramework，安

全運營可以拆解為

5

個版塊：風險識別（Identify）、安全防御

（Protect）、安全檢測（Detect）、安全響應（Response）和安全

恢復（Recovery）。而安全運營的核心即解決問題，通過提出安全

解決構想、驗證效果、分析問題、診斷問題、協調資源解決問題并

持續(xù)迭代優(yōu)化，推動整體安全目標的實現。隨著企業(yè)規(guī)模變大、面臨的威脅環(huán)境更為復雜，如何通過有限

的人員對數量龐大的安全事件進行管理與響應，如何將安全工作與

業(yè)務有效結合更好地賦能業(yè)務，是安全運營不斷發(fā)展、優(yōu)化的目的

所在。（二）安全運營的發(fā)展經過近

30

年的發(fā)展，國內的安全運營從粗放型逐漸轉向業(yè)務與

技術雙驅動的精細化運營。

（1）基礎架構階段八九十年代末，計算機應用迅速拓展，第一批計算機安全相關

政策、舉措開始實施，重點行業(yè)、大型企業(yè)的安全需求開始顯現。

這一時期，頭部行業(yè)的企事業(yè)單位正視網絡安全，將其作為系統建

設中的重要內容之一，并且建立專門的安全部門以開展信息安全工

作。網絡安全廠商迎來初步發(fā)展期，將其主要研發(fā)精力投入于防火

墻、IDS、殺毒軟件三大件上，奠定了傳統的安全運營基礎架構。（2）快速發(fā)展階段九十年代末至

2010

年，國內網絡安全行業(yè)基本結束野蠻生長階

段。等級保護相關標準規(guī)范體系相繼密集出臺，中小型企業(yè)、傳統

企業(yè)將補全安全能力作為主要安全建設工作，而安全運營的主要手

段依然以防火墻、IDS、防病毒為主，呈現快速發(fā)展、被動防御的特

點。（3）體系化階段2010

年后，隨著國內大部分企業(yè)完成信息安全建設進程，國家

和企業(yè)對于合規(guī)需求進一步升級，安全運營迎來體系化發(fā)展階段。

安全管理中心、態(tài)勢感知等安全運營理念在信息系統建設中同

步運用。企業(yè)將安全運營作為體系化工作開展，以基礎安全設備為邊界防護，內部建立完整的安全運營中心/體系，進行整體安全規(guī)劃、

逐步開展自研并引入國內外多種安全運營理念。（4）技術驅動階段2018

年后，AI、大數據、云計算飛速發(fā)展，新技術催生了新的

業(yè)務場景，也讓企業(yè)面臨傳統安全邊界消失、攻擊面無處不在、業(yè)

務增長帶來的數據量暴增等問題。為了實現快速、持續(xù)的響應，安

全人員不得不與復雜的操作流程以及匱乏的資源、技能和預算做斗

爭。然而此起彼伏的安全事件讓安全運營人員即便依托安全運營平

臺，仍然疲于應付。企業(yè)開始尋求更高效、自動化的安全運營方式，

安全運營從被動式轉變?yōu)橹鲃邮?，注重從防御、檢測、響應和預測

四個維度構建縱深的網絡安全運營體系。（三）安全運營的技術實踐本質上，安全運營是一個安全理念和運營體系，而在國內外落

地過程中，安全運營逐漸衍生出多種形態(tài)，如常見的

SIEM、SOC、態(tài)

勢感知平臺等。一般來說，不同國家、不同廠商對于某一安全運營

產品/解決方案的名稱可能存在差異，通過目前市面上已有的安全運

營產品/服務/架構的了解，能夠幫助企業(yè)更好地理解安全運營是如

何把技術、流程和人結合起來服務于安全的。在以上多個安全運營形態(tài)中，技術、流程和人都必不可缺，且

安全運營能力重點體現在數據收集、事件分析及響應等方面。近幾年，安全運營的各種形態(tài)在不斷集成、融合其他安全技術、

工具和策略，在優(yōu)化發(fā)展過程中，不同的安全運營平臺/產品相互之

間存在一定的功能交叉甚至重合。比如，SIEM作為重要的檢測響應

技術，被

SOC、SOAPA等多個安全運營形態(tài)采用與融合，并且在安全

運營中扮演重要角色。因此，盡管

SIEM、SOC等在能力側重點、技

術等細節(jié)上存在差異，但在安全運營能力的整體提升方面的目標仍

然是一致的。二、安全信息實踐管理技術發(fā)展現狀（一）技術早期發(fā)展在

SIEM萌芽階段，收集

IT網絡資源產生的各種日志，進行存

儲和查詢的日志管理是行業(yè)主流。而建立在日志管理之上的

SIM4和

SEM5就在這一時期出現。初代

SIEM的定義也由此開啟，2005

年，

Gartner首次將

SIM和

SEM整合到一起，并提出了

SIEM的概念，為

安全運營和管理揭開了新的篇章。此后，隨著安全合規(guī)政策的出現，又衍生出了新一代日志管理

技術

LM6。LM與前者的區(qū)別在于，更加強調日志的廣泛收集、海量存

儲、原始日志保留及安全合規(guī)，并借鑒搜索引擎技術實現快速檢索

分析能力。現代

SIEM的定義實質上融合了

SIM、SEM、LM三者，盡管各個

廠商產品間的重點技術能力略有區(qū)分，但以此為基礎的大方向是一

致的：即基于大數據基礎架構的集成式

SIEM，為來自企業(yè)和組織中

所有

IT資源產生的安全信息（日志、告警等）進行統一實時監(jiān)控、

歷史分析，對來自外部的入侵和內部的違規(guī)、誤操作行為進行監(jiān)控、

審計分析、調查取證、出具報表報告，實現

IT資源合規(guī)性管理的目

標。2010

年后，伴隨著安全運營的熱度

SIEM同樣迎來蓬勃發(fā)展期，在市場占領和技術成熟度上都有了突破。2013

年，SIEM全球市場規(guī)

模達到

15

億美元，相比

2012

年度增長

16%，預示著

SIEM市場完全

成熟且競爭激烈。同時，在合規(guī)要求下，SIEM的目標群體轉向中小

型企業(yè)，為了解決小型企業(yè)無力購買整體

SIEM解決方案/服務、缺

乏管理

SIEM的專業(yè)員工等問題，SIEM開始在產品形態(tài)、功能，還有

商業(yè)模式上進行創(chuàng)新，推出

SaaS軟件即服務，進一步推動

SIEM的

廣泛部署。（二）基礎核心能力SIEM/SOC的核心功能包括了日志收集、跨源關聯和分析事件能

力等，常見

SIEM工作流程可參考下圖：SIEM在數據流水線的每個階段都需要進行精細的管理、數據提

取、策略、查看警報和分析異常。其中，SIEM的核心技術點包括：日志采集及處理SIEM需要從企業(yè)相關組織系統中廣泛收集日志和事件，每個設

備每次發(fā)生某事時都會生成一個事件，并將事件收集到平面日志文

件或數據庫中。SIEM的任務是從設備收集數據，對其進行標準化并

將其保存為能夠進行分析的格式。在日志采集后，SIEM還需要進行日志處理，即從多個來源獲取

原始系統日志后，識別其結構或架構并將其轉變?yōu)橐恢碌臉藴驶瘮?/p>

據源的技術。日志關聯分析SIEM需要匯總所有歷史日志數據并進行實時分析警報，通常通

過分析數據建立關系，以幫助識別異常、漏洞和事件，這也是

SIEM最關鍵的一項能力。傳統

SIEM產品使用關聯規(guī)則和脆弱性和風險評

估技術從日志數據生成警報，但是這兩種技術存在誤報及新型威脅

難以抵御地風險，因此部分頭部

SIEM廠商積極應用實時關聯分析引

擎，分析數據包括對安全事件、漏洞信息、監(jiān)控列表、資產信息、

網絡信息等信息，同時應用機器學習、用戶行為分析等高級分析技

術，著力提高

SIEM的智能分析能力。安全產出SIEM處于安全運營的關鍵環(huán)節(jié)，其應用目的之一便是幫助安全

運營人員高效處理安全事件。因此清晰完善的安全產出尤為重要。

例如根據安全事件產出相關報告，如人員異常登錄報告、惡意軟件

活動報等，同時根據事件分析產生安全警報。SIEM安全產出主要提

供警報和通知、儀表盤、數據探索及

API和

WEB服務等能力。盡管

SIEM在事件分析和響應上已有成熟的體系，但近幾年趨向

復雜化、高級化的網絡攻擊依然對于以

SIEM為主要解決方案的安全

運營提出了挑戰(zhàn)。一是

SIEM采用關系數據庫技術構建，但隨著日志

數據源的數量增加，數據庫的負載不斷加重，限制了實時響應能力；

二是

SIEM在運行中會產生大量告警事件，“告警過載”等于無告警；

三是

SIEM采用模式匹配引擎技術（簽名技術）進行上下文的匹配，容易產生大量誤報；四是

SIEM簡單地將事件的嚴重程度劃分為高、

中、低，缺乏細致的決策參考，對企業(yè)網絡安全專業(yè)人才的技能提

出更高的要求。根據

CMSDistribution公司對企業(yè)安全運營的技術調研發(fā)現，

傳統的SIEM解決方案產生大量告警事件使得安全運營人員分身乏術，

同時專業(yè)安全技能人才的缺失，使得傳統

SIEM解決方案的平均壽命

已經縮短到

18-24

個月，無法有效應對云計算、大數據、物聯網、

人工智能新時代的網絡安全挑戰(zhàn)。當

SIEM的不足開始凸顯，企業(yè)的

安全水位線難以被滿足，也亟須

SIEM有新的突破以應對更高級的威

脅。三、國內

SIEM/SOC類產品應用現狀（一）國內企業(yè)安全運營態(tài)勢畫像1.安全檢測類產品部署現狀大多數企業(yè)都依靠部署安全產品和解決方案管理安全和合規(guī)建

設。根據調研結果，有

33.5%的受訪企業(yè)部署了

11

個以上的網絡安

全檢測類產品，部署數量在

6-10

之間的企業(yè)占比為

16.7%。直觀地看，通過眾多安全檢測類產品的部署，企業(yè)具備相對成

熟的單點安全防護能力，安全團隊能夠解決大部分基礎安全問題。

此外，企業(yè)對安全建設的投入和重視程度也可見一斑。2.安全警報數量現狀隨著安全檢測產品部署數量的增加，勢必會產生更多的安全警

報。對此，報告分別針對企業(yè)安全警報數量、安全警報變化狀態(tài)和

產生原因進行了調研，詳細調研結果如下：過去

1

年中，企業(yè)安全事件警報的數量如何變化？調研結果顯示，38.5%的受訪企業(yè)在過去一年間的安全事件警報

數量顯著增加（增加

1

倍-2

倍），19.2%的企業(yè)在過去一年間的安全

警報數量呈現大幅增加（超過

2

倍

以上），僅有

7.7%的企業(yè)表示過

去一年的安全警報數量幾乎沒有變化。企業(yè)過去一年間大約處置了多少有效安全警報事件？調研結果顯示，23.1%的受訪企業(yè)在過去一年間處置了

100000+

的安全警報，僅有

9.1%的企業(yè)在過去一年間處置了少于

100

的安全

警報。是什么問題導致安全警報事件增加？根據調研結果，共有

63.7%的受訪企業(yè)認為【威脅數量日益增

加】、【部署的安全產品逐漸增多】、【內部用戶及資產數量增加】

是企業(yè)安全警報數量激增的核心原因。3.企業(yè)安全運營&威脅發(fā)現能力現狀針對企業(yè)安全運營&威脅發(fā)現能力現狀，報告分別從企業(yè)威脅發(fā)

現能力自評、企業(yè)安全運營能力自評、企業(yè)安全運營問題三個方面

進行了調研。詳細調研結果如下：企業(yè)目前威脅發(fā)現能力的評價為：根據調研結果，四成的受訪企業(yè)認為自己【有完善的邊界防御

體系，可及時發(fā)現入侵行為，但仍存在改進空間】，僅有

14.8%的受

訪用戶具備自信并表示自己【建立了全面和縱深防御體系，可快速

發(fā)現入侵者】。企業(yè)目前的安全運營能力評價為：根據調研結果，半數受訪企業(yè)認為安全運營能力處于【有專職

的安全運營人員，可以實現高風險安全事件的響應，但人力資源會

擱置一般性風險事件】的階段。值得關注的是，安全運營能力成熟

度最高級和最低級的企業(yè)比例相當，這也意味著目前國內企業(yè)安全

運營能力仍處于兩極分化階段，不乏已經在安全建設及運營階段走

在前列的國內企業(yè)，但同時仍舊有部分企業(yè)處于初級救火隊的階段。企業(yè)面臨著哪些安全運營問題？根據調研結果，【缺乏有效的自動化工具】、【安全運營可視

化能力弱】、【缺乏有效的威脅跟蹤和管理平臺】、【安全運營人

員經驗不足】是大多數企業(yè)面臨的運營問題。（二）國內安全信息和事件管理類產品應用現狀1.安全信息和事件管理類產品國內部署現狀企業(yè)是否選擇部署安全信息和事件管理類產品？從調研結果來看，針對安全信息和事件管理類產品的部署選擇，

有

46.9%的企業(yè)已經部署

SIEM/SOC產品。同時報告也觀察到，近九

成企業(yè)不會選擇單獨部署

SIEM/SOC產品，同時還會配合

UEBA、SOAR、

漏洞管理等產品進行綜合應用。企業(yè)部署商用安全信息和事件管理類產品的品牌選擇：商用安全信息和事件管理類產品的廠商品牌較多，競爭也非常

激烈。根據調研結果，國內企業(yè)對安全信息和事件管理類產品的品

牌選擇上，國外廠商并不占據壓倒性優(yōu)勢地位，有

51.1%的企業(yè)選擇

部署國內廠商的產品。國內廠商布局安全信息和事件管理類產品也是近幾年開始的動

作，在

Gartner歷年發(fā)布的

SIEM產品魔力象限中，無論在市場還是

技術領域，無一例外都是國外廠商占據領導者地位。但隨著近幾年

國內安全信息和事件管理類產品市場的猛烈需求和發(fā)展，國內廠商

也在紛紛投入精力切入該市場，根據該調研結果也能看到國產廠商

在國內安全信息和事件管理類產品市場發(fā)展中所做的努力與成果。2.安全信息和事件管理類產品使用效果評價針對已部署

SIEM地調研對象，54.8%的企業(yè)認為部署

SIEM對企

業(yè)安全運營效率提升的效果一般，32.7%的企業(yè)認為部署

SIEM可以

顯著提升企業(yè)安全運營效率。根據調研，企業(yè)用戶對現階段

SIEM產品不滿意的問題主要集中

在以下六個方面：【價格高昂】、【產品操作復雜，對安全運營人

員的技術要求較高】、【日志關聯分析能力弱】、【誤報率過高】、

【占據大量安全資源，需要巨大的安全運營投入】、【與第三方安

全工具的集成性較差】。3.企業(yè)對

SIEM集成安全能力的期望隨著“SmartSIEM”理念的發(fā)展，企業(yè)對

SIEM的期望不僅僅局

限于傳統

SIEM提供的安全事信息和事件管理能力。新一代

SIEM解

決方案更加趨向于融合多項安全能力，將安全需求打通，并基于用

戶的選擇進行按需擴展，從而幫助企業(yè)更加高效統一地完成安全運

營工作。針對企業(yè)對

SIEM集成安全能力的期望，報告進行了定向調研，

調研結果顯示：威脅情報、端點安全（EDR）、漏洞管理、SOAR、UEBA、

NTA是大部分企業(yè)期望集成至

SIEM平臺的安全能力。4.企業(yè)對

SIEM產品期望改進的能力根據調研結果，54.7%的企業(yè)認為

SIEM產品需要提升【威脅情

報能力】、【用戶行為分析能力（UEBA）】、【安全編排及自動化

響應能力】這三項能力。四、SIEM/SOC類產品測試情況綜述（一）測試基本情況本次SIEM/SOC類先進網絡安全能力驗證評估工作在信通院安全

所網絡安全實驗室進行，開始于

2020

年

11

月

2

日，結束于

2020

年

12

月

8

日。各參測企業(yè)根據測試方案分別組合自身的產品模塊和技

術能力，完成了

SIEM/SOC能力驗證評估。各參測企業(yè)受測的產品數量不同，如表

3

所示，每個參測企業(yè)

產品數量從一臺至五臺數量不等，但普遍為兩臺至三臺，通常一臺

設備作為采集探針，另外一臺設備作為安全分析和展示系統，對于

采用兩臺以上設備的企業(yè)通常是將安全分析模塊進行了能力拆分，

例如態(tài)勢感知模塊、威脅感知模塊、運維審計類探針模塊以及總體

分析和展示模塊幾個部分。參與測試的產品均采用了標準

1U或

2U服務器。（二）測試環(huán)境介紹本次測試主要采用IXIAPerfectStormONE流量發(fā)生器（IP地址：

11）模擬網絡流量、攻擊以及惡意程序等，采用

IXIAVisionE40

分流設備（IP地址：12）進行多路模擬流量

生成。如圖

16

所示測試環(huán)境網絡拓撲情況，流量發(fā)生器與分流設備

相連接，并配置流量策略，分流設備將模擬的測試流量同時下發(fā)多份，受測產品的采集口（或通過交換機轉發(fā)）與分流設備相連。管

理口交換機連接所有產品管理口進行統一管理。受測產品需配置

網段

IP作為管理

IP，并接入到受

測網絡中。為了保障整個測試過程的真實性與客觀性，管理口

IP以

及其他相關采集分析設備被分配的

IP不可以私自改變，在測試結果

截圖中應包含頁面全屏，顯示出管理

IP，以明確該測試截圖內容是

通過現場測試得到的結果截圖。（三）測試方法說明本次測試包括產品功能測試、性能測試和系統自身安全測試。

在功能測試方面，由

IXIAPerfectStormONE流量發(fā)生器生成相關流

量，隨后在產品找到采集或分析結果相應界面，對滿足測試內容的

部分進行截圖和說明，證明該產品對該測試項的滿足程度。對于不

需要專門利用流量發(fā)生器的測試項，直接在產品界面截圖中進行描

述說明。在性能測試方面，根據產品型號（千兆或萬兆），由

IXIAPerfectStormONE流量發(fā)生器生成最大混合流量，受測產品記錄流量

采集峰值以及峰值期間

CPU或內存資源的消耗情況。在自身安全測

試方面，由專業(yè)白帽子滲透測試工程師利用各類

Web檢測工具，結

合手工驗證對設備系統和應用層面進行全面滲透測試。（四）測試對象范圍一般情況下，SIEM/SOC類產品從基礎架構上主要分為采集層、分析層、展現層。采集層通過對網絡內的流量、日志進行基礎性收

集并進行標準化處理；分析層是一個

SIEM/SOC類產品的核心技術體

現，它通過多系統之間的關聯、多數據/情報標準化之后的分析，進

而形成威脅預警信息、態(tài)勢感知信息、數據治理手段等。

本次測試對象范圍主要包含安全信息和事件管理系統（SIEM）、

SOC安全運營中心、NGSOC態(tài)勢感知與安全運營平臺、SRC安全應急

響應中心等產品形態(tài)和類別。其中包含的功能模塊包含但不限于日

志管理、威脅情報、漏洞掃描、態(tài)勢感知、威脅預警、安全治理等

子系統。本次測試對象范圍主要包含安全信息和事件管理系統（SIEM）、

SOC安全運營中心、NGSOC態(tài)勢感知與安全運營平臺、SRC安全應急

響應中心等產品形態(tài)和類別。其中包含的功能模塊包含但不限于日

志管理、威脅情報、漏洞掃描、態(tài)勢感知、威脅預警、安全治理等

子系統。（五）測試內容簡介本次測試內容范圍覆蓋從原始網絡流量采集、還原，并進行網

絡攻擊、惡意程序、APT等威脅識別，到安全分析和態(tài)勢感知，到安

全運營和安全治理，并對風險進行處置和溯源等網絡流量全生命周

期分析能力測試。如表

4

所示，測試內容包括產品功能測試、產品

性能測試和產品自身安全測試三個方向。其中產品功能測試包括網

絡流量識別能力、安全分析能力、安全事件處置能力、安全事件溯

源能力、自身管理能力、自身日志審計能力六大產品能力，其中網

絡流量識別能力和安全分析能力是本次測試的重點方向。產品性能

測試包括網絡流量吞吐能力和系統資源使用情況測試。自身安全測

試包括針對系統的

Web應用安全和業(yè)務邏輯安全測試。五、SIEM/SOC類產品測試結果總體分析（一）日志采集告警與基礎分析支持較好通過測試結果發(fā)現，絕大部分受測產品的日志采集與告警、威

脅情報采集與安全分析能力均表現良好。如圖

20

所示，全部受測產

品的兩個大項指標的符合率高達近

90%，側面表明國內大部分

SIEM/SOC類產品在日志與事件的收集、標準化和實時監(jiān)控告警方面

的技術能力已經相當成熟。一方面，本次測試中主要驗證受測產品對于收集各信息系統及

網絡的流量、日志、運行狀態(tài)、告警信息，包括

Syslog、SNMP、SNMPTrap、SSH、TELNET和文件系統等方式接入日志類型數據；另一方面，

本次測試對于威脅情報的采集、利用、溯源和驗證方面進行了相關的測試，根據測試結果綜合情況來看，受測產品普遍在威脅情報的

采集和利用方面表現優(yōu)異，但威脅情報的溯源和驗證功能仍具有一

定的優(yōu)化空間。如圖

22

所示，相對于受測產品的基礎能力外，多數產品也普遍

存在一定的功能短板，主要在自動編排能力和安全治理能力等方面。（二）自動化編排能力有待深化現在的安全運營場景中，往往需要整合大量的系統信息和事件，

運維工作的復雜度大大增加，因此必然需要產品提供豐富的事件響

應與處理編排能力，能夠基于一系列預定義的預處理策略、關聯分

析策略和合并策略自動化對告警嚴重性和處置優(yōu)先級進行劃分、自

動化地執(zhí)行匹配的劇本和應用動作，同時應能夠對外提供

API調用

接口，供外部第三方應用系統調用，為它們提供編排、自動化與響

應服務。通過測試結果發(fā)現，大多數產品具備基本的告警功能，但自動化

編排響應能力有待完善。在所有受測產品中，僅有三家完全支持自

動化編排相應（SOAR），此項功能支持較好及以上的僅占全部受測

產品的

42%，完全不支持此項功能的占全部受測產品的

36%。根據測試用例要求，受測產品應具備自動化告警分診、自動化

安全響應、自動化劇本執(zhí)行、自動化案件處置以及自動化服務調用

等功能。不僅應實現實時有效告警，并且告警信息在系統中有詳細

記錄。具備供第三方應用調用的接口的配置，并且可以與企業(yè)其他

產品和其他企業(yè)或開源組件實現數據聯動，以滿足風險通知等其他

擴展功能。就本次測試情況綜合評估，在安全編排自動化與響應能

力方面，多數受測產品未體現出相關能力優(yōu)勢，需要在實踐中不斷

完善和改進。（三）安全合規(guī)審計能力亟需加強本次測試在安全治理功能的測試方面，基于當前網絡安全市場

的運營趨勢提出了兩點測試項：等級保護

2.0

合規(guī)審計以及安全治

理數據。等級保護

2.0

合規(guī)審計。網絡安全等級保護

2.0

制度，是中國

網絡空間安全領域的基本國策和基本制度。在等級保護

1.0

時代的

基礎上，更加注重主動防御，建立全流程的安全可信、動態(tài)感知和

全面審計。SIEM/SOC類產品作為企業(yè)安全運營的核心，承載著收集、

分析和情報處理的關鍵功能，如果能通過等級保護

2.0

進行賦能與

合規(guī)管理，將大大提高

SIEM/SOC類產品應用的深度和廣度。根據測試結果，有

10

款產品完全不支持等級保護

2.0

的合規(guī)審

計功能，占全部受測產品的

72%。沒有一款受測產品能夠完全支持本

次的測試用例。但值得期待的是，其中

1

款產品在后續(xù)版本將加入

等保審計功能，而另外部分產品可通過接入本次測試外的定制模塊、

探針等方式進行等保合規(guī)審計和安全信息事件地集中管理。從總體

上看，本次受測產品在等級保護

2.0

合規(guī)審計功能上亟需加強。安全治理數據。本次測試中，增加了安全治理數據的功能檢測，

旨在展示安全治理整體數據、態(tài)勢和成效。通過受測產品內置安全

風險

KPI指標，包括安全狀況指標、運行能力指標、安全態(tài)勢指標

以及合規(guī)指標。查看總體安全治理情況。

通過測試結果發(fā)現，雖距安全治理的要求還有一定距離，但多

數產品已經基本具備功能。大部分受測產品在功能上基本能夠實現

查看全網安全威脅指數、查看安全域

KPI的態(tài)勢、不同安全域的指

標變化以及設置

KPI的標準等。通過測試結果發(fā)現，雖距安全治理的要求還有一定距離，但多

數產品已經基本具備功能。大部分受測產品在功能上基本能夠實現

查看全網安全威脅指數、查看安全域

KPI的態(tài)勢、不同安全域的指

標變化以及設置

KPI的標準等。（四）系統自身安全管理功能完善通過測試結果發(fā)現，幾乎全部受測產品在自身安全配置方面，

均具備包括不限于用戶標識、數據安全、身份鑒別、安全審計等安

全配置功能。用戶標識方面，具備管理角色標識、鑒別信息、隸屬

組、權限等自定義用戶安全屬性，并具備用戶屬性初始化功能和用

戶唯一性設置。數據安全方面，具備數據安全管控機制，涵蓋數據

的創(chuàng)建、存儲、使用、共享、歸檔、銷毀數據全生命周期環(huán)節(jié)，涉

及通過網絡協議、接口、維護終端等多種途徑進行數據訪問、傳輸，

保證在這些途徑上的數據保密性、安全性和完整性。身份鑒別方面，

具備提供授權管理員鑒別數據的初始化、鑒別失敗處理、鑒別授權

保護等功能。安全審計方面，具備對不同的安全行為進行審計記錄

的生成，并能夠限制審計記錄的訪問。如圖

31

所示，絕大部分產品具有完善的自身安全管理能力。其

中

86%受測產品具備完善的自身管理能力，滿足測試功能要求，14%

受測產品在本次測試用例中存在微弱的差距。（五）Web和業(yè)務安全漏洞均有存在通過測試結果發(fā)現，全部受測產品均存在應用安全漏洞。本次

測試過程中，通過系統漏洞測試、應用安全測試、口令破解、數據

包分析等不同工具和方法，對受測產品的

Web應用和業(yè)務安全進行

了測試，測試內容包括不限于對

Web應用進行安全掃描監(jiān)控，查看

Web應用是否存在安全漏洞、利用業(yè)界知名安全掃描工具/開源掃描

工具掃描和人工滲透測試嘗試發(fā)現

Web應用是否存在的安全風險、

對系統業(yè)務邏輯進行分析和測試，查看業(yè)務邏輯是否存在漏洞（越

權、數據泄漏等）。在本次全部受測產品中，均存在

Web和業(yè)務安

全漏洞。所有產品的高危漏洞占總漏洞數的

33%，中危漏洞占

55%，

低危漏洞占

12%。其中，有

8

款產品均存在不同危害程度的高危漏洞。

如圖

32

所示各產品漏洞數量。六、SIEM/SOC類產品威脅識別能力分析（一）各類網絡攻擊發(fā)現和分析的能力在本測試中，利用流量發(fā)生器構造了近

5000

條漏洞利用攻擊，

包括但不限于遠程代碼執(zhí)行、破殼漏洞利用、SQL注入、HTTPPUT方法任意寫文件、暴力破解、端口掃描、非法權限獲取、挖礦、木

馬后門通信、中間件漏洞等，用于驗證受測產品的網絡攻擊識別和

分析能力。通過測試結果發(fā)現，絕大部分受測產品可實現對網絡攻擊的基

本識別，需加強機器學習、數據圖譜等高級關聯分析和溯源展示能

力。在網絡攻擊識別方面，多數受測產品能識別出

Web應用攻擊、

弱口令、暴力破解、掃描與爬蟲、數據庫攻擊、敏感信息泄露、惡

意通信流量、內網滲透、通用應用漏洞攻擊、惡意軟件、后門識別、異常協議等攻擊行為。（二）多步驟攻擊發(fā)現和關聯分析的能力通過測試結果發(fā)現，絕大部分產品可以實現分析流量中的多步

驟攻擊鏈條，包括基于攻擊鏈模型的分析、攻擊源追溯等功能。但

是在風險告警與攻擊鏈構成防御策略方面仍需不斷完善。隨著各企

業(yè)在國家

APT網絡攻擊對抗領域的不斷深入研究與實踐，應持續(xù)完

善產品能力，以在網絡安全防御與應急響應工作中起到實際效果。ATT&CK28F7技術落地仍需完善。在本測試用例中，利用流量發(fā)生器

構造具有完整攻擊鏈的

APT攻擊，查看受測產品是否具備提供攻擊

鏈模型的安全事件監(jiān)測的方法，是否能夠直觀呈現攻擊者的抽象行

為并提供攻擊路徑追溯等功能。如圖

36

所示，雖然絕大部門受測產品都可以識別出多步攻擊鏈

條，但是其中仍有

3

款產品不支持通過以

ATT&CK為例的全過程告警

功能，占全部測試產品的

22%。七、SIEM/SOC類產品態(tài)勢感知能力分析態(tài)勢感知能力，不僅是SIEM/SOC類產品對于數據分析的展示層，

更代表一個系統對于網絡中的資產、用戶以及環(huán)境等各方面信息的

深度理解和分析，從而形成全局視角，以用于決策支撐、應急響應

和安全處置等。本次測試過程中分別對

SIEM/SOC類產品的攻擊和威

脅態(tài)勢感知能力、資產和運行態(tài)勢感知能力、用戶實體和

UEBA能力

等方面進行逐一測試，用來分析受測產品在態(tài)勢感知方面的功能支

持情況。（一）攻擊和威脅態(tài)勢感知能力分析根據測試結果，大部分受測產品均具備一定的攻擊和威脅態(tài)勢

分析能力。其中，攻擊態(tài)勢感知能力主要能夠實現顯示攻擊源國家

TOPn、顯示不同時間段的攻擊事件量、顯示情報命中數、顯示當前

攻擊狀態(tài)值、顯示當前攻擊趨勢值等內容。威脅態(tài)勢感知能力能夠

實現潛伏威脅感知、外部威脅感知、威脅情報態(tài)勢感知等方面的內

容。如圖

39

所示，本次受測產品中，有

4

款產品在攻擊和威脅態(tài)勢

感知的功能上完全滿足測試要求，占全部受測產品的

29%；有

1

款產

品完全支持攻擊態(tài)勢感知能力但威脅感知能力還需加強。其他產品

均為基本支持或者較好的支持本次的測試用例，測試中未發(fā)現不支

持此功能的產品。（二）資產和運行態(tài)勢感知能力分析根據測試結果，大部分受測產品均具備一定的資產和運行態(tài)勢

分析能力。其中，資產態(tài)勢感知能力主要能夠展示資產安全概覽、

展示業(yè)務系統和安全域

TOPn、資產價值分布、資產發(fā)現示意圖、展

示互聯網資產暴露、展示操作系統版本、展示資產端口類型、展示

資產來源、正常展示網段分布、展示資產分類統計信息和資產發(fā)現

的來源等。運行態(tài)勢感知能力主要能夠顯示全網安全狀況及風險分

布地圖、安全域風險等級

TOPn、不同時間維度脆弱性、威脅和風險

TOPn、安全域價值等級分布、攻擊關系圖、威脅分布狀況等等。根據測試結果，本次受測產品中，有

6

款產品在攻擊和威脅態(tài)

勢感知的功能上完全滿足測試要求，占全部受測產品的

43%；有

2

款產品完全支持其中一項態(tài)勢感知功能。僅有

1

款產品不支持此項

態(tài)勢感知功能。其他產品均為基本支持或者較好的支持本次的測試

用例。（三）用戶實體畫像和

UEBA能力分析UEBA是

SIEM/SOC的關鍵功能，Gartner曾預測，到

2020

年，80%的

SIEM產品都將具備

UEBA功能。根據本次測試結果，大部分受

測產品均具備用戶實體畫像分析能力和

UEBA分析能力，但在機器學

習和深度分析上仍存在很大空間。其中，用戶實體畫像分析能力主

要能夠添加設備的詳細畫像、能夠在場景畫像查看由于

UEBA場景所

觸發(fā)的實體畫像、能夠在獵物畫像看到威脅狩獵所觸發(fā)的實體畫像

等。UEBA分析能力主要是圍繞用戶和資產提供細粒度的行為分析場

景，找出潛在的內部威脅與安全風險，并且可以查看異常行為場景

的詳細信息，進行深度分析操作，例如生成畫像，進行威脅狩獵，

產生告警，誤報忽略等操作，同時對場景進行配置管理，包括場景

的開啟和關閉以及特征配置的調整。根據測試結果，本次受測產品中，有

3

款產品在用戶實體畫像

分析功能和

UEBA分析功能上完全滿足測試要求，占全部受測產品的

21%；有

3

款產品完全支持其中一項功能。有

2

款產品不支持此項功能。支持較好及以上的受測產品在用戶實體畫像分析功能和

UEBA分

析功能占比分別為

58%和

72%。八、SIEM/SOC類產品趨勢展望根據

Gartner的定義，安全信息和事件管理（SIEM）技術通過

對來自各種事件和上下文數據源的安全事件的實時收集和歷史分析

來支持威脅檢測和安全事件響應。在安全運營的發(fā)展歷程中，SIEM作為一種非常有效的技術解決方案，一直以來都是安全運營的關鍵

輸入，尤其是在安全響應（Response）版塊發(fā)揮關鍵作用。而隨著安全數據、應用、場景量的激增，SIEM的技術能力也在不斷優(yōu)化。回顧

SIEM/SOC發(fā)展演變的歷程，我們可以看到其發(fā)展與安全運

營的變化相契合，并不斷優(yōu)化以滿足安全運營的需求。回顧

SIEM/SOC發(fā)展演變的歷程，我們可以看到其發(fā)展與安全運

營的變化相契合，并不斷優(yōu)化以滿足安全運營的需求。（一）“智能

SIEM”將引領新一代

SIEM能力發(fā)展新一代

SIEM從解決傳統

SIEM的告警爆炸、企業(yè)網絡安全專業(yè)

技能人才的匱乏等問題出發(fā)，能力集中在日志和事件融合分析、人

工智能技術集成、關聯分析、用戶行為分析、安全編排自動化與響

應、威脅狩獵等方面。我們將新一代

SIEM定義為“智能

SIEM（SmartSIEM）”。對比傳統

SIEM產品的技術能力，SmartSIEM的能力發(fā)展趨勢

更多集中在智能化、主動化、集成化。1.智能化：AI+自動化驅動隨著事件數量的增加，使用舊

SIEM解決方案的企業(yè)能夠擁有大

量的日志和事件數據，但無法智能地了解數據背后的原因。企業(yè)需

要更智能的

SIEM，通過機器學習技術或自動化手段消除一些普通重

復的任務，以確保有限的企業(yè)資源不會因警報疲勞而陷入困境。在

此過程中，SmartSIEM更強調應用用戶行為分析（UEBA）和安全編

排自動化和響應（SOAR）等能力。基于機器學習的

UEBA技術。用戶和實體行為分析（UEBA）這項

技術通常利用數百種機器學習模型來分析大量事件，并為每個實體（用戶/機器/打印機/IP地址等）識別“正?！毙袨椤τ诿總€實體，

通過將其基線與新行為及其對等實體的基線進行比較，并將數百條

線索之間的點連接起來，以評估是否產生風險分數異常行為預示著

真正的安全風險。這樣，數十億個數據點就變成了少數優(yōu)先的威脅

線索，從而減少了警報，并使安全運營人員可以專注于調查對企業(yè)

構成真正風險的威脅。UEBA的機器學習類型通常分為兩類：監(jiān)督機

器學習和無監(jiān)督機器學習。監(jiān)督機器學習依賴于大型標簽數據集來訓練模型，它非常適合

識別具有已知攻擊模式或危害指標（IOC）的已知網絡安全威脅。例

如，惡意軟件檢測是此類機器學習的用例之一，因為該行業(yè)具備數

十年的惡意軟件數據，可以提供用作訓練模型的數據依據。無監(jiān)督機器學習通過查找數據集中的模式進行學習，因此非常適合異常檢測，在異常檢測中它可以自動比較并查明異常行為，適

應企業(yè)的數據并發(fā)現新的模式，無須人工指導機器尋找。將

UEBA與

SIEM有效結合使用，可以提供一種分層的安全分析

方法，快速、有效地找到已知威脅，

并幫助運營人員提高檢測與響

應效率。安全編排自動化和響應（SOAR）技術SOAR的概念最早由

Gartner在

2015

年提出，SOAR的三大核

心技術能力分別安全編排與自動化

（SOA，SecurityOrchestrationandAutomation）、安全事件響應平臺

（SIRP,

SecurityIncidentResponsePlatform）

和威脅情報平臺

（TIP,

ThreatIntelligencePlatform）。SOAR可以根據事先的預案（Playbook）進行編排和自動化，能

國內網絡安全信息與事件管理類產品研究與測試報告（2021

年）

53

夠有效地簡化安全運營人員的手工作業(yè)，減少了單調繁重的威脅分

析過程。一是

SOAR幫助安全分析人員更快地響應和調查攻擊，使他

們能夠更快地開始緩解。自動化功能使他們能夠采取措施將攻擊風

險降到最低，而無須人工干預。二是SOAR自動化技術與機器學習（ML）

和人工智能（AI）相結合，它們提供了更快的方法來識別新的攻擊，

并使預測分析能夠得出統計推斷，從而以更少的資源緩解威脅。三

是利用

SOAR的編排和自動化技術，安全運營人員可以在多個安全工

具之間快速進行協調、從多個來源快速獲取威脅源，并使工作流自

動化以主動掃描整個環(huán)境中的潛在漏洞。四是安全運營人員通常需

要花費大量時間來管理案例，創(chuàng)建報告并記錄事件響應程序。SOAR通過自動化操作手冊、創(chuàng)建知識庫沉淀，幫助企業(yè)保留安全運營經

驗并持續(xù)迭代學習。將

SIEM和

SOAR結合后，能夠大大縮短

MTTD（平均檢測時間）

和

MTTR（平均修復時間），解決安全運營人員短缺的問題，并降低

SIEM/SOC中常見的告警爆炸問題，并通過自動化實現運營成本有效

降低。2.主動化：威脅感知與主動防御企業(yè)需要尋找通過預測和預期對手的下一步行動來具備主動競

爭的能力，在此過程中，新一代

SIEM/SOC需要具備威脅感知和主動

防御的能力。將

SIEM/SOC與威脅情報匹配，企業(yè)能夠以敏捷和快速

反應的方式應對不斷發(fā)展的、大批量、高優(yōu)先級的威脅。通過威脅情報平臺，企業(yè)可以匯總和合理化威脅數據，自動篩

選出攻陷指標（IOC）作為可機讀威脅情報（MRTI），并且使用現存

的日志對比匹配以便輕松發(fā)現不常見的趨勢或線索，并對其有效執(zhí)

行操作。通過將團隊、流程和工具結合在一起，威脅情報平臺指導

安全響應并進行阻斷，節(jié)省了追蹤傳統

SIEM/SOC產生誤報所花的大

量時間。如果將

SIEM/SOC與威脅情報平臺相結合，企業(yè)可以將所有人、

過程和技術統一在智能驅動的防御背后，獲得強大的安全運營增益

效果。一是日志、事件和數據的進一步分析。將來自威脅情報平臺

的攻陷指標將自動發(fā)送到

SIEM/SOC中進行警報，并將來自

SIEM/SOC的特定事件發(fā)送回威脅情報平臺來進行關聯分析、數據挖掘和優(yōu)先

性排序，分析人員可以鎖定惡意行為的所在位置。二是建立企業(yè)自

身威脅知識庫。綜合性威脅情報平臺可以作為企業(yè)的中央威脅信息庫。幫助企業(yè)了解網絡犯罪分子的工具、流程、受害者和預期目標。

三是根據企業(yè)網絡環(huán)境生成和優(yōu)化情報。威脅情報平臺增加了上下

文信息和關系豐富的指標，從而使企業(yè)能夠更好地了解威脅的性質、

對企業(yè)風險更有效地做出全面的反應。四是主動防御。威脅情報平

臺支持安全響應團隊尋找線索和聯系，這可以顯示攻擊企業(yè)的威脅

與可能存在的威脅之間的關系，并發(fā)現新的相關的情報。使用這些

信息，幫助安全團隊變被動防御轉為主動防御。3.集成化：多元安全能力高效聯動隨著

SIEM/SOC的發(fā)展，SmartSIEM的定義中逐漸集合了多種

安全能力，例如前文提到的用戶和實體行為分析（UEBA）、安全編

排自動化和響應（SOAR）、威脅情報等多種能力。這些能力可以是

單獨的產品，但是對企業(yè)而言，集成化將是更好的選擇。事實上，在原有的企業(yè)安全建設中，常常面臨的問題就是不同

品牌、不同功能的產品并行在企業(yè)網絡中。數量眾多、品牌各異、

功能不同的安全產品大大提高了安全運營工作的復雜度，對安全運

營人員的要求也將更高。同時，不同安全產品產生的各類數據及事

件繁雜且細密，致使安全運營人員深陷于事件風暴中，無法有效尋

找梳理有效信息和及時處理安全警報。在此背景下，新一代

SIEM/SOC的需求逐漸被引導為各類安全能

力的遷移和集成。例如，用于定義劇本和流程的編排和自動化工具

或充當中央存儲庫的威脅情報平臺、可以使用上下文的外部全局威脅情報來聚合和豐富大量內部威脅和事件數據，方便企業(yè)可以了解

并確定優(yōu)先級采取行動。此外，集成化的體現還包括

SIEM/SOC對各安全品牌產品的兼容

與多元化。企業(yè)戰(zhàn)