Splunk vs QRadar：两大主流SIEM产品对比(2)

　　过去一年来 Splunk 最为重要的几个功能增强包括：支持通过 Splunk ES 中 Investigation Workbench 用户界面进行带指导的调查，ES 和 UBA 快速内容更新，以及速度提升。

　　Splunk 产品为公司企业提供了多个安全监视切入点，可用 Splunk Enterprise 从基础的事件收集和简单用例开始，到以 ES 执行更为丰富的 SIEM 功能，用 UBA 进行更高级的分析，以及用 Phantom 执行 SOAR 操作。

　　尽管使用其他竞争技术或产品（如用户分析领域的其他产品）的用户应做好集成深度的验证工作，但 Splunk 生态系统堪称完备健壮，应用市场中有各种技术集成可用。

　　个人可识别信息 (PII) 保护功能非常强大；提供低至属性级的信息混淆和 PII 屏蔽支持，可在用户 ID、位置及其他属性上应用此类保护功能。

　　Splunk 基于平台摄入的数据量签发许可，对 DNS 和 NetFlow 数据打折。ES 同样按每天摄入的 GB 数定价，UBA 则按公司的用户账户数量核价，且均可签永久授权或短期授权，企业级许可和功能增配有多个选项可供选择。Phantom 按用户采取行动的事件数定价。

　　这种 “一分钱一分货” 的模式下，Splunk 总体上比其竞争对手贵上几分。客户和潜在买家容易对其定价模式和总成本产生顾虑。Phantom 和 “神经中心”（独立的 SIEM、UBA 和 SOAR 产品）概念的引入，造成了采用不同衡量方法的三种定价模式。

　　Splunk UBA 目前是现场解决方案或仅客户云解决方案，可能会与希望保持 SaaS 模式的 Splunk Cloud 客户产生冲突。

　　尽管可与无数第三方解决方案集成，Splunk 仍旧缺乏支持文件完整性监测 (FIM) 和终端检测与响应 (EDR) 的原生代理。

　　Splunk 对运营技术/物联网 (OT/IoT) 的支持依赖第三方应用的功能，而不是依靠 Splunk 对 OT 协议的支持。