如下图，是一个SIEM厂商委托第三方所作的一个调研：

将近一半（44%）的人认为SIEM的完全部署上线一般耗费了他们数周乃至一月多的时间。而这还仅仅是开始，如果要真正展示出SIEM的价值，还需要耗费更长的时间。

有1/4的受访者表示，他们都购买了超过1个月的专家服务（原厂的或者集成商的）来实施SIEM项目，并且过半的人表示他们至少安排了2个人全职负责SIEM的使用。

看了这份去年底做的分析，不禁让人对于使用SIEM的投入成本方面感觉些许沮丧，SIEM存在的问题依然没有太大的改观。正如我一直说的，需要从厂商和客户两个方面来反思。同时，有一点，SIEM的本质决定了这个东西就不简单，大家都有做好思想准备。

那么，是不是就不需要SIEM了呢？非也，应该是更加需要，但要的不能是原来那样的SIEM，包括要构建一个新的SIEM生态环境。

尽管如此，我依然看好SIEM和安管平台的未来，尤其是随着BDA和新型威胁的兴起，安管平台的焦点渐渐的又从合规性审计转移到安全本源上来了。

【参考】