Платформы управления информацией и событиями безопасности (SIEM) развились далеко за пределы своих первоначальных функций сбора и корреляции журналов.
Поскольку киберугрозы развиваются слишком быстро для ручного вмешательства, ведущие поставщики интегрировали в свои SIEM-платформы технологии искусственного интеллекта и машинного обучения.
Кроме того, современные SIEM-платформы теперь включают расширенное обнаружение и реагирование (XDR) и оркестрацию, автоматизацию и реагирование на угрозы безопасности (SOAR), обеспечивая обнаружение угроз в режиме реального времени и автоматизированное устранение последствий.
SIEM стали платформой для мониторинга журналов на предмет аномалий и подозрительных событий с последующим запуском оповещений на основе необычного поведения и правил обнаружения.
«[SIEM] часто служит рабочей областью для аналитиков безопасности, которые расследуют инциденты, сопоставляя оповещения с другими контекстами, такими как информация об активах, уязвимости и сведения об угрозах», — отмечают аналитики IDC. «IDC ожидает, что в будущем SIEM также станет центром реагирования SOC с автоматизированной обработкой многих инцидентов с помощью сценариев действий (playbooks)».
По мере роста использования облачных технологий в корпоративном секторе, прогноз Google Cloud Cybersecurity Forecast предсказывает, что продукты SIEM станут центральным элементом центров безопасности корпоративных операций (SOC), обрабатывая «все — от облачных журналов до телеметрии конечных точек».
Джо Тёрнер, глобальный директор по исследованиям и развитию бизнеса в аналитической фирме Context, отмечает, что увеличение поверхности атаки и более изощренные атаки побуждают предприятия инвестировать в SIEM в сочетании с другими технологиями, включая XDR и SOAR, как в платформу для корреляции, обнаружения и устранения угроз.
Конвергенция SIEM, XDR и SOAR
Конвергенция SIEM с инструментами безопасности, такими как XDR и SOAR, является основным фактором роста рынка.
SIEM обеспечивает аналитику журналов и широкую видимость, XDR расширяет обнаружение на конечные точки и облако, а SOAR оркеструет реагирование.
Когда SIEM обнаруживает инцидент безопасности, SOAR запускает автоматизированные действия по реагированию через XDR — изоляцию скомпрометированных конечных точек, отключение скомпрометированных учетных записей пользователей или блокировку вредоносного трафика в режиме реального времени.
Благодаря конвергенции SIEM с XDR и SOAR организации получают единую платформу безопасности, которая консолидирует данные, снижает сложность и сокращает время реагирования, поскольку системы могут быть настроены для автоматического сдерживания угроз без какого-либо ручного вмешательства.
В 2024 году Context зафиксировал 580% рост продаж технологий SIEM и XDR совместно. Продажи услуг, связанных как с SOAR, так и с SIEM, выросли на меньшую, но все еще значительную величину — 22% в 2024 году, по данным агентства рыночной аналитики.
«Термин SIEM++ используется для обозначения следующего шага в развитии SIEM, который разработан для удовлетворения современных потребностей в области безопасности, требующих автоматизации, ИИ и реагирования в реальном времени. Отсюда и рост SIEM наряду с другими инструментами», — говорит Тёрнер из Context.
Джордж Маккенна, директор британского поставщика управляемых услуг Emerging T-Tech, рассказал CSO, что конвергенция SIEM с XDR и SOAR позволяет предприятиям оптимизировать операции, повысить эффективность обнаружения и сократить среднее время до устранения.
«Устаревшие SIEM, хотя и эффективны для агрегации и корреляции журналов, не обладают гранулярной видимостью и возможностями автоматизированного реагирования, необходимыми в современном ландшафте угроз», — объясняет Маккенна. «XDR устраняет этот пробел, интегрируя телеметрию конечных точек, сети и облака, обеспечивая целостное представление о потенциальных угрозах».
Маккенна добавляет: «SOAR затем обеспечивает автоматизацию рабочих процессов реагирования на инциденты, ускоряя смягчение последствий и устранение».
Разделение рынка: продажи в среднем сегменте компенсируют спад в МСП
Спустя год данные Context показывают, что продолжающаяся конвергенция SIEM с инструментами безопасности, такими как XDR и SOAR, вызвала структурное разделение рынка.
«Крупные компании среднего бизнеса удвоили инвестиции в унифицированные платформы для соответствия нормативным требованиям, в то время как небольшие организации в целом сокращают инвестиции в SIEM в пользу MDR и управления уязвимостями», — отмечает Тёрнер из Context.
Общий объем рынка SIEM снизился с 20% роста в 2024 году до гораздо более скромных 4% в 2025 году. Напротив, средний сегмент (501–1000 рабочих мест) продемонстрировал рост на 288% год к году — основной движущей силой стало желание продемонстрировать соответствие директиве ЕС NIS2.
«Полное вступление в силу директивы NIS2 в Европе заставило компании среднего звена перейти от базового мониторинга к проверяемым операциям безопасности», — объясняет Тёрнер из Context. «Эти компании слишком велики для простых инструментов, но слишком малы для масштабных круглосуточных внутренних SOC. Они покупают платформы SIEM++ в качестве центрального источника достоверных данных для аудиторов».
В отличие от этого, рынок SIEM-продуктов для малого и среднего бизнеса (менее 500 рабочих мест) сократился на 23% в прошлом году.
«МСП вкладывают гораздо больше средств в управляемое обнаружение и реагирование (MDR), которое выросло на 35% в сегменте от 10 до 50 рабочих мест и на 26% в сегменте от 50 до 500 рабочих мест», — сообщает Тёрнер.
Резкий отказ от SIEM среди малого бизнеса обусловлен жесткой экономикой: более дешевая альтернативная технология обеспечивает лучшие результаты при меньших сложностях внедрения для малого бизнеса.
«Зачем платить 66 долларов за рабочее место за инструмент, которым вы не можете пользоваться? МСП, возможно, выбирают покупку результата (MDR), а не движка (SIEM)», — говорит Тёрнер.
Бурные времена для облачных SIEM
Переход к облачным SIEM, ранее рассматривавшийся как способ организаций получить более масштабируемую и экономически эффективную платформу, утратил свою популярность.
«Облачные SIEM снижают операционные расходы и ускоряют расследования и сотрудничество между командами безопасности, DevOps и платформами — это ключевой фактор для современных операций безопасности», — говорит Вера Чан, старший менеджер по маркетингу продуктов облачных SIEM в компании Datadog, занимающейся мониторингом облачных сред и безопасности.
Облачные SIEM-решения представляют собой готовые к использованию платформы безопасности, позволяющие организациям подписываться, интегрировать активы через API, автоматизировать реагирование с помощью SOAR и настраивать правила обнаружения.
«Современные облачные SIEM выходят за рамки управления журналами», — говорит Мухаммад Али, консультант по киберрешениям в компании Exponential-e, поставщике коммуникационных и кибербезопасных решений, — CSO. «Это интеллектуальный центр безопасности со встроенными возможностями SOAR, бесшовной интеграцией через API с облачными решениями XDR/EDR и глобальной информацией об угрозах в режиме реального времени».
Облачные SIEM устраняют необходимость дорогостоящих обновлений оборудования, связанных с традиционными локальными развертываниями, предлагая масштабируемость и более быстрое время реагирования, наряду с потенциально более экономичными моделями ценообразования по мере использования. По данным Context, стоимость локальных SIEM выросла на 116% до в среднем 93 долларов за рабочее место в 2024 году, в то время как стоимость облачных SIEM снизилась на 26% до 77 долларов за рабочее место за тот же период.
Однако всего через 12 месяцев рынок кардинально изменился.
Стоимость облачных SIEM продолжала снижаться в 2025 году, но более медленными темпами — до 66 долларов за рабочее место. Context считает, что стоимость ИИ играет роль в замедлении. «Поставщики перекладывают высокие вычислительные затраты на генеративные ИИ-функции на конечного пользователя», — говорит Тёрнер.
Напротив, стоимость локальных SIEM снизилась на 39% год к году, достигнув 63 долларов за рабочее место — ниже, чем у облачных SIEM.
«Устаревшие поставщики вступили в ценовую войну, чтобы остановить репатриацию в облако», — говорит Тёрнер. «Для больших объемов данных локальные решения теперь, как ни парадоксально, являются оптимальным выбором впервые за долгое время».
Простой этап «облако дешевле», похоже, закончился.
«В 2026 году облачные SIEM станут премиальным выбором для тех, кто хочет использовать автоматизацию на базе ИИ, в то время как локальные решения станут предпочтительным вариантом для бюджетно-ориентированного хранения больших объемов журналов», — заключает Тёрнер.
Управляемые SIEM также пострадали: в 2025 году наблюдалось снижение на 88% в продажах SIEM через MSP, что противоречило недавней тенденции значительного роста SIEMaaS — ранее считавшегося способом избежать найма или удержания штатной команды безопасности.
«Поставщики MSP прекратили перепродажу «управляемых SIEM» как отдельной услуги», — сообщает Тёрнер из Context. «Вместо этого они включают технологии SIEM в услуги MDR».
Снижение на 88% в поставках SIEM через MSP — это не крах, а сдвиг в сторону платформизации и интеграции, подчеркивает Тёрнер.
«SIEM стал своего рода «Intel Inside»… для рынка MDR», — говорит Тёрнер. «Он там есть, но клиент платит за защиту, а не за платформу».
ИИ меняет ландшафт SIEM
Статические SIEM на основе правил с трудом справляются с современными изощренными киберугрозами, поэтому SIEM-платформы на базе ИИ используют машинное обучение (ML) в реальном времени для анализа огромных объемов данных безопасности, улучшая свою способность выявлять аномалии и ранее неизвестные методы атак, которые могут пропустить устаревшие технологии.
ML-модели устанавливают базовое поведение пользователей, активов и сетевого трафика, постоянно отслеживая отклонения, указывающие на потенциальные угрозы. При обнаружении аномалии обученная модель генерирует оповещения, что приводит к более быстрому обнаружению угроз и реагированию.
«SIEM-решения на базе ИИ не только обнаруживают угрозы, но и автоматизируют процессы расследования, сопоставляя инциденты в реальном времени с глобальной информацией об угрозах», — говорит Али из Exponential-e. «Интегрируясь с платформами SOAR и XDR/EDR, можно запускать автоматизированные ответы или эскалировать инциденты аналитикам безопасности для дальнейших действий».
Али добавляет: «Это значительно повышает эффективность реагирования на инциденты и поддерживает более эффективный и гибкий центр операций безопасности, который на шаг опережает злоумышленников».
SIEM на базе ИИ могут приоритизировать критические оповещения, рекомендовать действия по реагированию и автоматизировать устранение последствий, снижая шум и усталость.
«Поскольку противники используют ИИ, команды безопасности должны внедрять автоматизацию на базе ИИ, чтобы оставаться впереди», — говорит Чан из Datadog.
Консолидация отрасли
Рынок SIEM переживает быструю консолидацию, поскольку поставщики стремятся разрабатывать более комплексные и мощные платформы.
«Организации требуют меньше инструментов, более глубокой интеграции и беспрепятственных сквозных операций безопасности — и поставщики, которые смогут это предоставить, будут формировать будущее кибербезопасности», — говорит Чан из Datadog.
К заметным M&A-сделкам в сфере SIEM за последние несколько лет относятся:
- Приобретение Google компании Siemplify (SOAR-компания) в 2022 году для интеграции в Google Chronicle SIEM
- В июле прошлого года Palo Alto Networks (PAN) приобрела CyberArk примерно за 25 миллиардов долларов. Эта сделка расширяет защиту привилегированных учетных данных в ее платформе безопасности, открывая путь к обеспечению безопасности нового поколения автономных ИИ-агентов. Сделка последовала за приобретением PAN бизнеса Qradar SaaS от IBM за 500 миллионов долларов в сентябре 2024 года.
- Zscaler согласилась приобрести Red Canary примерно за 675 миллионов долларов в мае 2025 года. Сделка обеспечивает результаты MDR напрямую через облачный стек, минуя MSP (поставщиков управляемых услуг).
- CrowdStrike купила испанский стартап в области кибербезопасности Onum примерно за 290 миллионов долларов в августе 2025 года. Приобретение дает CrowdStrike возможность снизить затраты на прием данных в облаке для своих клиентов SIEM за счет интеллектуальной оптимизации, что ускоряет реагирование на инциденты.
- Слияние Exabeam и LogRhythm в июле 2024 года
- Cisco покупает Splunk примерно за 28 миллиардов долларов в марте 2024 года
См. также:
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John Leyden
