虽然安全信息和事件管理(SIEM)市场在不断发展，但它却已在许多IT管理者中留下了很多不好的印象。而且许多企业在买进SIEM时所抱的期望不太现实，他们觉得SIEM是向其提供一种快速修复问题的万能药，能够使安全检测和保护自动化。事实上，SIEM正如其它工具一样，它要求一些专门技术，并且需要实实在在的工作才能实现其真正的价值。

　　这种过高的期望会导致在部署SIEM产品后的严重失望。下面谈一下能够影响SIEM部署成功率的一些重要因素。

　　1、SIEM难以使用

　　其困难确实可归结为这样一个事实：SIEM并不是一项容易使用的技术。部分原因是SIEM厂商没有充分地简化其产品。

　　我们需要看到更多的部署模式，让企业更容易使用它。为了让这个市场继续发展，并为客户创造价值，SIEM应当更易于使用，更适用于中端市场的客户。然而现在这项技术却过于复杂。同时，企业还需要培训其安全人员以便获取其SIEM投资的价值。

　　最终还要确定发生了什么，企业是否缺乏培训，这绝不仅仅是收集信息、分析信息的问题，也不仅仅是判断是否遗漏了什么的问题，而是要从修复的观点来看如何应对困难。

　　2、日志管理缺乏标准化

　　为了使得不同设备的数据收集真正实现标准化，并使所有的数据解析自动化，企业需要对所记录的数据实现标准化。

　　这是事件管理的最大问题之一。如今，不同的产品在描述事件特征时采用了许多不同的方法。为推动该领域的标准化，有的厂商已经采用通用的事件格式，不过，这些厂商在统一SIEM市场的标准时往往又缺乏可信性及权威。

　　3、IT无法超越组织的权力斗争

　正如一位SIEM厂商的总裁所言，其客户所面临的关键挑战之一是真正地将公司的所有部门组织起来，使SIEM真正覆盖适当的监视范围。要知道，公司需要监视的各个方面位于企业内部的不同地方，而这些地方由企业的不同部门掌控。

　　如果企业无法将描绘特定事件的所有安全数据集成起来，那么，即使最强大的关联引擎也产生不了良好的效益。

　　4、安全管理人员将SIEM看成是魔术

　　安全人员对SIEM的期望并不现实，因为许多IT管理员认为SIEM功能强大，简直无与伦比。

　　许多人认为SIEM就是魔盒中的东西。如有人认为，“我买了SIEM，它就能够为我完成一切。”有的SIEM容易使用，有的则不然，但它们都需要查看信息并得出结论。如果你并不了解特定的环境，SIEM就无法真正发挥最大作用。

　　许多公司认为SIEM及相关部署类型就如同变魔术一样，并期望SIEM可以收集一切，而且可以与任何设备集成。有的人甚至以为，即便不知道自己的应用要求，SIEM也可以自动联接和应用。

　　因而，许多专家认为，企业需要安排SIEM部署的优先顺序，并确定目标，例如，在购得SIEM技术之前，要考虑是把它用于收集数据和作出报告，还是要用它来挖掘历史数据。

　　如果企业没有很好地定义这些问题，就无法真正知道要从购买的SIEM中获得什么。从而，在购得设备之后，特别是在买进这种高价格设备或者高端设备时，企业就会认识到原来部署和调整SIEM需要如此多的人力、物力，这种认识上的压力足以令人退避三舍。