Splunk vs QRadar：两大主流SIEM产品对比

　　SIEM 面世至今已走过了十几个年头的发展历程，是将安全信息管理 (SIM) 和安全事件管理 (SEM) 功能结合到一个安全管理系统中的现代安全管理工具。SIM 收集、分析和报告日志数据；SEM 实时分析日志及事件数据，提供威胁监测、事件关联和事件响应。鉴于其不间断实时监控的特性，SIEM 如今已是大型企业不可或缺的技术。

　　SIM 和 SEM 均提供安全警报按需分析功能，可摄入多种应用及网络硬件产生的安全警报。能够将这两种功能合二为一的安全提供商便抢占了拓展新业务的先机。

　　企业 SIEM 的主要功能包括：多源数据摄入；数据解释；威胁情报馈送合并；警报关联；分析；概述；自动化；以及潜在威胁汇总。

　　IBM QRadar 和 Splunk 是现有最好的两种 SIEM 解决方案，后者在近十年来的大部分时间里一直处于市场领导者地位。但是，这两种产品各有千秋，各自为潜在买家带来不同方面的显著成效。两种 SIEM 解决方案均提供强大的核心 SIEM 产品，但在使用威胁情报和与第三方及其他安全工具集成方面存在差异。

　　总体上讲，IBM QRadar 旨在与其他 IBM 产品（如 Watson AI）优化集成，而作为独立软件制造商的 Splunk 可以更轻松地与系统内其他组件进行交互。

　　以下是对这两个解决方案的主要功能介绍及分析，正面对比 IBM QRadar 与 Splunk。

　　IBM 的 SIEM 工具集 QRadar 专为大型企业设计，由用于构建企业级威胁检测及响应系统的可靠平台构成。也包含用于较小型用例的大量蓝图与模板。QRadar 部署广泛，服务提供商众多，可辅助公司企业采购、运行、调整及监控他们的部署。

　　IBM QRadar SIEM 可作为硬件虚拟设备和软件包提供，具体取决于客户的事件速度（覆盖范围内所有数据源的每秒事件 (EPS) 数量）。也可以作为 IBM 托管的软件即服务 (SaaS) SIEM 从云端获取。

　　IBM QRadar 中的选项卡和模块之间观感不一致，用户体验可能落后于一些较新的竞争对手。据称 IBM 正在努力改进这一点。

　　该平台中的风险评分以攻击规模显示，需要一定程度的安全过程成熟度才好实施。风险评分无需定制。

　　分析师表示，IBM 在集成、部署和服务/支持上比 Splunk 等其他 SIEM 领头羊得分略低。SIEM 参考客户在服务和支持方面给 IBM 的打分低于平均值。IBM 透露称，最近已增加服务和支持人手。

　　Splunk 不仅名字酷炫，其 SIEM 系统的业内评价也很高。想跨 SIEM 和其他 IT 用例共享架构及供应商的公司企业，以及寻求可扩展解决方案处理从基本日志管理到高级分析及响应任务的公司企业，都应考虑采用 Splunk。

　　Splunk 的安全产品组合连续六年被 Gartner 市场研究公司评为业界领先技术——一项不小的成就。该平台帮助客户优化其安全神经中枢，处理一系列安全监视及威胁检测用例。客户将 Splunk Enterprise Security 和 Splunk User Behavior Analytics 作为分析驱动的 (Analytics-Driven) SIEM 联合使用，打造自身安全运营中心 (SOC) 以检测、调查和响应威胁。作为先进的安全编排、自动化与响应 (SOAR) 解决方案，Splunk Phantom 帮助客户调查事件并加速事件响应动作。

　　想跨 SIEM 和其他 IT 用例共享架构及供应商的公司企业，以及寻求可扩展解决方案处理从基本日志管理到高级分析及响应任务的公司企业，都应考虑采用 Splunk。

　　Splunk Security Intelligence Platform 集中式运行且用户界面直观。该平台由 Splunk Enterprise 和如下三个解决方案构成：Splunk Enterprise Security (ES)、Splunk User Behavior Analytics (UBA) 及 Splunk Phantom。Splunk Enterprise 为各种 IT 运营及某些安全用例提供事件与数据收集、搜索和可视化功能。

　　付费 ES 解决方案交付多种常用安全监视功能，包括特定于安全的查询、可视化及控制面板，还有一些案例管理、工作流及事件响应功能。UBA 额外带来机器学习驱动的 (ML-driven) 高级分析技术。Phantom 提供 SOAR 功能。可通过 Splunkbase 获取用于安全用例的其他应用。