2017年9月1日下班后，郵箱里出現了一封來自MicroFocus的郵件，里面宣布HPE軟件部門的分拆和與MicroFocus的合并正式完成。我趕緊打開Arcisght的網頁，果然，URL被重定向到了MicroFocus。看到此幕，令我唏噓不已。

想起來，我其實對Arcsight還是比較有感情的。

我2001年在聯想開始了SOC從業之旅。也就是在那個時候，我接觸到了Gartner，并從此追蹤它們的研究直到現在。

這是我當時所看到的第一份Garnter的報告（還有中文版哦。那時Gartner就已經進入中國了，在上海北京有辦事處）。不得不說，現在還在跟Kelly Kavanagh打交道（他現在是SIEM MQ的主筆）。

在2003年的時候，我們團隊開始著手調研全球的SIEM/SOC市場，以期進行引進合作（這里有一篇我2003年初寫的調研報告——安全集中管理系統早期調研）。當時，我們還看到了Gartner第一篇有關安全管理平臺的報告。那時候還沒有SIEM這個術語，與之相近的市場細分包含了企業事件管理。下面這個MQ中的大部分廠商我們當時都有調研過。

那時候，安氏跟e-Security合作，引進他們的Sentinel；啟明星辰則在后來跟NetForensics合作；綠盟自己做了個ESP。當時我們跟netForensics，IBM Tivoli都進行了談判和產品評估，但都不是很理想，最后選定了Arcsight。當時，Arcsight才成立沒幾年，剛剛推出產品。但是Arcsight表現了巨大的誠意。在跟我們談判期間，成立了亞太區，派香港人Robert擔綱，并很快來到北京和我們具體商談合作事宜。另一方面，我們團隊進行了仔細的技術評估，也認可了Arcsight的技術。于是，我們后來經常說，是我們（聯想）團隊將Arcsight引入了中國。

2004年的時候，Gartner正式開始對安管平臺進行MQ分析，如下圖。

【注：上圖是我去年才看到的，在當年可沒有見過:-)】盡管我N年后才看到這個圖，不過在2003年的時候，我們已經基本將這些公司分析了一遍。那時候，Arcsight還不算特別突出。當年最厲害的三個廠商是e-Security，netForensics，Intellitectics。

時至今日，這三個廠商都已經面目全非。e-Security后來被Novell收購，后來Novell以及NetIQ又被Attachmate收購，Attachmate又被MicroFocus收購。真累。所以多說一嘴，現在的MicroFocus其實有兩套SIEM/安管平臺/品牌了，包括Arcsight和NetIQ（NetIQ原始的SIEM在跟e-Security/Novell的Sentinel的PK中已經被干掉，但是勝出的Sentinel掛上了NetIQ品牌，夠亂的）。現在登錄MicroFucus的網站，依然可以看到Sentinel！真不知道他們以后打算怎么搞！

再說netForensics，已經改換門庭，叫“黑云”BlackStratus公司了。該公司一度想要納斯達克上市，但尚未成功。現在BlackStratus主要做SaaS和給MSSP提供SIEM服務平臺。

至于Intellitectics，在2010年被Trustwave收購了，成為了他們的MSS平臺【參見我的博客《? ? ? ?Gartner：2013-2014年全球MSS市場分析》】。

回到跟Arcsight的合作。事實證明，我們的選擇是正確的。Arcsight發展勢頭很猛，自從跟我們合作后，很快打開了中國市場，包括當時的IBM都主賣Arcsight而不是自己的Tivoli（盡管也在不斷收購SIEM廠商）。我們團隊在離開聯想繼續著跟Arcsight的合作，幫助其開拓中國市場，實施了頭幾個中國的典型客戶。

在Garnter的MQ排名方面，Arcsight也是一路飆升。

2005年Gartner第一次發表了SIEM的MQ，Arcsight地位已經很高了。

此后，所有的SIEM MQ，Arcsight都位居第一象限，也是唯一一個做到這點的廠商。2008年初，Arcsight在Nasdaq上市成功。從2009年開始，Arcsight正式成為了SIEM市場第一（包括銷量和綜合實力），并在2011年的MQ達到了頂峰。也就是那時候開始，Arcsight成為了SIEM市場的統治者。

就像大部分其他的故事發展情節一樣，上市后的Arcsight開始了一系列戲劇性的變化。首先，就是被巨頭們盯上了。彼時的SIEM市場炙手可熱，人們談論Arcsight就像后來人們討論Splunk之于數據分析，FireEye之于沙箱一樣，成為了安全領域的一個“銀彈”。IBM和HP，還有一堆老大們為了占領這個市場，紛紛展開并購。最后，HP捷足先登，在2010年收購了Arcsight。搞得IBM沒有辦法，只好在2011年收購了Q1Labs。

事實證明，HP收購Arcsight是一個失敗的案例。這個結局也許從一開始就能顯示出來。對比一下，就能發現，Hp收購Arcsight并未給Arcsight太大的自主權，而且從并購之初就出現了大量的人員兌現走人。再加上HP自身過于龐大，兼顧PC和軟件業務，漸漸自顧不暇。而IBM收購Q1Labs則表示了極大的誠意，整個成立了一個安全部，讓Q1Labs的掌管，并將之前IBM的各類安全產品交給Q1labs團隊打理，并購后沒有出現大的人員離職潮。

從HP并購Arcsight開始，離職就是主旋律，我之前的博客《風雨飄搖中的HP會分拆Arcsight業務嗎？》有大量提及。2012年5月，前Arcsight的CEO，并購后掌管HP大安全業務的Tom Reilly離開了HP，成為了一個標志性事件。Arcsight成了SIEM的“黃埔軍校”，人員散落各處。

其實，早在2010年并購后，Arcsight亞太團隊就已經開始兌現走人了，Robert帶著人去到了當時正在冉冉升起的新星——Splunk。那時候，不斷有Arcsight的人去Splunk，包括后來的Arcsight研發主管宋海燕【以前Tom Reilly和宋海燕都曾到訪中國跟我們交流過】。這些人賭的，就是Splunk的上市（2012年上市）。

伴隨著創業者的離開，HP自身的臃腫，還有Arcsight逐漸固步自封。也就是從2011年開始，各種隱患開始顯現：價格昂貴，部署極其復雜，使用成本居高不下，包括主要還是老一代的SIEM技術架構，死綁Oracle數據庫，事件處理性能上不去，C/S架構，B/S很弱，加上效果不顯著，客戶不滿逐漸增加。而這時候對手們卻開始發力，運用新的技術架構奮力趕超。

從2012年開始，Arcsight一枝獨秀的場景不再，SIEM市場開始進入三足鼎立的時代（HP的Arcsight，IBM的Qradar，McAfee的NitroSecurity）。

在我對2013年度的SIEM MQ評論中，我寫到：“HP ArcSight主要是在2011年到2012年間重建了他的ESM后臺數據庫，將之前飽受爭議的Oralce更換為了輕量級的數據庫CORR，推出了ESM6.0c，性能改進了不少。但即便如此，其系統部署和實施的復雜性依然高過其他競爭對手。同時，在一些代表未來的SIEM新技術應用方面，Arcsight也落后其他兩大巨頭。”

隨著Splunk吸收了大量Arcsight的創業人員，到2012年上市和異軍突起，漸漸加入了SIEM MQ的戰團。到了2014年，SIEM市場成為了四國大戰時代（HP，IBM，Intel（McAfee）和Splunk）。再到2016年，SIEM三強已經換成了IBM，Splunk和LogRhythm了。

2012年，Arcsight還能勉強支撐，從2014年開始，Arcsight就已經明顯開始退步了。每次Gartner對Arcsight的評價都是太重型、架構太老、部署和使用太復雜、太貴、客戶不滿很多。技術評分（Critical Capabilities）方面都是表現平平。

相信，隨著Arcsight歸入MicroFocus旗下，一方面技術連連退步，另一方面品牌和市場損失必然不小，Gartner在2017年的MQ中恐怕不會對Arcsight有啥好話【注：寫此文時2017年MQ還沒有發布】。

可以說，我是看著Arcsight成長起來的，還曾經一度參與其中，現在看著Arcsight改換門庭，不知道未來的Arcsight將如何繼續走下去。

現在，MicroFocus的主要管理者都是HPE過去的，不知道是否會有些幫助。但想著Arcsight跟NetIQ? Sentinel兌在一塊兒，感覺很是怪異。接下來，我最關注的就是MicroFocus如何處理Arcsight跟NetIQ這兩個品牌，及其里面的大量軟件組合。

這種并購最麻煩的就是產品的用戶了。Arcsight客戶流失不可避免，并且早已發生。

還有一個令我哭笑不得的是，Arcsight在中國的情況更加復雜，因為還有HP出售H3C多數股權給紫光這檔子事兒。新華三成立后，承接了HPE（慧與，不是惠普）很多原來的業務。NetIQ在中國是有總代的，但MicroFocus在中國似乎沒有總代。我聽說HPE搞Arcsight的人被分拆到了新華三？在中國市場，從HPE分拆出去那幫人去哪里了呢？微焦中國？總之，亂的很。不知道新微焦（MicroFocus）將如何收拾中國的這一大攤子事兒。

【參考】

風雨飄搖中的HP會分拆Arcsight業務嗎？

從HP收購ArcSight看SIEM/MSS市場現狀與格局【9月17日更新】

Arcsight產品市場副總談并入HP之后的發展策略

Gartner：2016年SIEM（安全信息與事件管理）市場分析

Gartner：2015年SIEM（安全信息與事件管理）市場分析

Gartner：2014年SIEM（安全信息與事件管理）市場分析

Gartner：2013年SIEM市場分析（MQ）

Gartner：2012年SIEM（安全信息與事件管理）市場分析報告

Gartner發布2011年SIEM市場分析報告（幻方圖）

評Gartner2010年安全信息和事件管理（SIEM）分析報告

Gartner公司對2009年安全信息和事件管理（SIEM）的分析報告

轉載于:https://blog.51cto.com/yepeng/1969386

總結

以上是生活随笔為你收集整理的颠沛流离的Arcsight，辉煌不再的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。