作者来自 Elastic Natalie BlakeElastic Security 是 agentic 安全运营平台 —— 一个用于 SIEM、XDR 和原生自动化的平台。我们很高兴分享Elastic 在 IDC MarketScape《2026 年全球 SIEM 厂商评估》中被评为 Leader。我们认为该报告认可了 Elastic Security 的架构、部署灵活性、检测工程方法以及 AI 能力。安全团队正在面对一个与几年前完全不同的运行环境。威胁正在加速变化数据量持续增长组织被要求在覆盖云、本地、混合以及主权基础设施的日益复杂环境中保障安全。同时许多团队正在寻求工具整合、降低运营复杂度并在不牺牲对数据、模型或部署选择控制权的情况下采用 AI。我们认为 Elastic 被评为 Leader 反映了在安全运营中采用灵活、开放且统一方法的重要性正在不断提升。根据 IDC MarketScape 报告“Elastic Common Schema 和底层 Elasticsearch 引擎使客户能够使用一种统一语言查询安全与运营数据。客户反馈在无需重新架构的情况下日志摄取量可扩展至 5 倍同时同一平台也支持可观测性将价值扩展到安全团队之外。”我们认为这一认可凸显了 Elastic 持续差异化的多个方面包括统一的安全与运营分析、跨云与自管理环境的部署灵活性、开放的检测工程以及旨在为客户提供选择与控制权而非将其锁定在单一模型或操作方式中的 AI 能力。IDC MarketScape 厂商分析模型旨在提供特定市场中技术与供应商竞争力的整体概览。该研究方法采用严格的评分体系基于定性与定量标准从而生成一个单一的图形化展示用以呈现每个供应商在特定市场中的位置。Capabilities能力评分衡量供应商在短期内的产品能力、市场进入策略以及业务执行能力。Strategy战略评分衡量供应商战略与客户需求在 3-5 年时间范围内的匹配程度。供应商的市场份额通过图标的大小来表示。为什么组织选择 Elastic Security安全团队正承受来自对手的压力这些对手越来越以机器速度运作。与此同时许多组织仍在应对工具碎片化、工作流割裂、遥测数据量不断增长以及缺乏透明度的 AI 能力。我们认为现代安全运营需要一种不同的方法一个统一的平台帮助团队在不增加复杂性、不增加运营开销或额外成本的情况下预防、检测、调查和响应威胁。构建在数据与 AI 平台之上安全团队不应该在保留数据和控制成本之间做选择。Elastic Security 构建在 Elasticsearch 之上这是组织用于大规模驱动可观测性、搜索和 AI 应用的同一平台。安全遥测数据、运营数据以及 AI 驱动的工作流都运行在一个共同的基础之上使团队能够利用完整上下文而不是孤立信号来调查威胁。根据 IDC MarketScape客户反馈在无需重新架构的情况下日志摄取量可扩展至 5 倍同时同一平台也支持可观测性将价值扩展到安全团队之外。你的环境。你的需求安全团队在云、本地、混合以及高度受监管的环境中运作。Elastic 在自管理、托管、无服务器以及断网环境中提供一致的体验使组织能够选择最符合其业务与合规要求的运营模式。无论是支持数据主权要求、隔离网络环境还是公共部门部署Elastic 都能在不牺牲能力的前提下提供灵活性。根据 IDC MarketScape“Elastic Security 在自管理、托管、无服务器以及断网部署中实现功能对等并支持跨集群联合搜索以满足数据主权需求。该适配能力契合公共部门、公用事业以及跨国企业而这些是仅 SaaS 产品无法直接服务的客户群体。”这也包括我们获得 FedRAMP 授权的托管 SIEM-as-a-service 平台目前正在美国网络安全与基础设施安全局CISA生产环境中运行。你可以看见并验证的安全专业能力许多安全平台要求客户在不了解其工作机制的情况下信任检测、自动化和 AI 决策。Elastic 采取不同的方法。检测内容是公开开发的与 Elastic Common Schema 和 OpenTelemetry 规范保持一致并由 Elastic Security Labs 持续更新。分析人员可以检查 AI 提示词、工具调用、推理轨迹和响应从而帮助团队理解并验证结论是如何得出的。客户也可以选择最适合自身需求的模型而不会被锁定在单一供应商控制的 AI 技术栈中。为安全而生而不是增加负担安全团队不应该为了实现预防、检测、调查和响应而购买多个独立产品。Elastic 将 SIEM、XDR、终端防护、AI 驱动调查以及原生自动化整合在一个平台中。Elastic Defend 是我们原生的 EDR也是 Elastic XDR 能力的基础它按端点计费的方式提供。Elastic Workflows 是我们的原生自动化引擎以 YAML 定义在 Elastic Security 中原生运行并可直接访问告警、案例与调查数据。工作流可以将 agent 作为智能步骤调用agent 也可以将工作流作为工具来执行操作。对于许多 SOC 来说Elastic Workflows 可以替代独立的 SOAR 许可。二者结合有助于减少工具蔓延、消除运营摩擦并加速响应。在同一基础之上的安全与可观测性安全事件很少是孤立存在的。要理解发生了什么通常需要将安全遥测数据与应用、基础设施以及运营数据进行关联分析。由于 Elastic Security 和 Elastic Observability 运行在同一平台之上团队可以使用相同的数据、分析能力和工作流来调查威胁与运营问题。我们认为这种共享基础有助于减少工具碎片化并在日益复杂的环境中实现更快速的调查。Elastic Security 构建在组织已经用于可观测性与日志分析的同一平台之上。选择 Elastic 的安全采购方往往是在扩展一个已经在生产环境中运行的平台而不是再引入一个新平台。Elastic Common Schema 意味着安全与运营数据共享同一种查询语言。正在调查服务性能下降的 SRE与正在调查横向移动告警的分析师实际上都在查询同一个平台。将认证失败激增与上游部署变更进行关联本质上只是一次查询而不是一个项目。基于完整上下文构建的 AIAI 的效果取决于它可以访问的上下文。Elastic 的 AI 能力直接构建在用于检测、调查和响应的同一数据平台之上。AI 不作为独立层运行而是可以对 Elastic 中存储的安全遥测数据、运营数据、检测内容、案例以及历史上下文进行推理。诸如 Attack Discovery、AI Assistant、Agent Builder 以及 Elastic Workflows 等能力帮助安全团队减少噪声、加速调查并更快从告警走向响应。Attack Discovery 应用大语言模型LLM推理能力将单个告警关联为更高层级的事件为分析人员提供攻击叙事而不是告警队列。其目标不是将分析师移出流程而是确保分析师看到的是真正的事件而不是噪声。Elastic AI Assistant 通过 Agent Builder 支持自然语言查询并使用上述相同的推理轨迹。其透明性是有意设计的分析师可以看到模型具体做了什么这在处理真实威胁决策时非常重要。Agent Builder 还允许安全团队构建自定义 AI agent、skills 以及工具使 agentic 工作流更贴合 SOC 的实际流程而不是让流程去适配供应商的工作方式。展望未来随着对手采用 AI攻击时间线持续压缩安全领域正在快速变化。我们将持续投入 agentic 安全运营、AI 驱动调查、原生自动化、开放标准以及安全工作流帮助组织在不牺牲可见性与控制力的前提下加速响应。我们认为安全运营的未来是一个由 AI 负责调查、关联与准备而分析师负责判断、验证与监督的平台。这一愿景持续指导着 Elastic Security 的创新方向。阅读摘要阅读 IDC MarketScape 报告摘要或了解 Elastic Security 如何支持你的安全运营。Elastic Security 是 agentic 安全运营平台 —— 一个用于 SIEM、XDR 和原生自动化的平台构建在同一数据与 AI 平台之上该平台已在安全、可观测性与搜索领域广泛运行。本博客中所描述的任何功能或特性的发布与时间安排均由 Elastic 自行决定。任何当前不可用的功能或特性可能无法按时交付甚至可能不会交付。本博客中我们可能使用或引用了第三方生成式 AI 工具这些工具由各自的所有者拥有和运营。Elastic 对这些第三方工具不拥有控制权也不对其内容、运行或使用承担任何责任或义务包括由使用这些工具可能导致的任何损失或损害。请在使用 AI 工具处理个人、敏感或机密信息时保持谨慎。你提交的任何数据可能被用于 AI 训练或其他用途无法保证你提供的信息会被安全或保密处理。在使用任何生成式 AI 工具之前你应了解其隐私实践与使用条款。Elastic、Elasticsearch 以及相关标识是 Elasticsearch N.V. 在美国及其他国家的商标、标识或注册商标。所有其他公司和产品名称均为各自所有者的商标、标识或注册商标。原文Elastic named a 2026 IDC MarketScape Leader | Elastic Blog