Elastic 在 IDC MarketScape 的 2026 年全球 SIEM 供应商评估报告中被评为领导者
Elastic Security 是智能体型安全运营平台——支持 SIEM、XDR 和原生自动化的单一平台。

我们很高兴地宣布,Elastic 在 IDC MarketScape 2026 年全球 SIEM 供应商评估报告中被评为领导者。我们相信,该报告认可了 Elastic Security 的架构、部署灵活性、检测工程方法和 AI 能力。
安全团队面临的运营环境与几年前截然不同。威胁变化更快,数据量持续增长,组织被要求保护涵盖云端、本地部署、混合和主权基础架构的日益复杂的环境。与此同时,许多团队希望整合工具、降低运营复杂度,并采用 AI,同时不牺牲对数据、模型或部署选择的控制权。
我们认为,Elastic 获评领导者的地位反映了灵活、开放和统一的安全运营方法的重要性与日俱增。
按 IDC MarketScape 报告所述:“Elastic Common Schema 和底层 Elasticsearch 引擎允许客户使用单一语言查询安全和运营数据。客户反馈称,无需重建架构即可将日志摄取量扩展五倍,而且同一平台还支持可观测性,从而将价值扩展到安全团队之外。”
我们认为,这一认可凸显了 Elastic 可在多个领域持续保持差异化优势,包括统一的安全性和运营分析、跨云和自主管理环境的部署灵活性、开放式检测工程以及旨在为客户提供选择和控制权而非将其锁定在单一模型或运营方式中的 AI 功能。

为什么组织选择 Elastic Security
安全团队正面临着来自攻击者的压力,这些攻击者的行动速度越来越快,如同机器一般。与此同时,许多组织正面临着工具碎片化、工作流支离破碎、遥测数据量激增以及 AI 能力缺乏透明度等问题。
我们认为现代安全运营需要不同的方法:一个统一平台,帮助团队防止、检测、调查和响应威胁,同时避免增加复杂性、运营开销或额外成本。
建立在数据和 AI 平台之上
安全团队不应被迫在保留数据与控制成本之间做出取舍。
Elastic Security 基于 Elasticsearch 构建,Elasticsearch 是组织用来大规模支援可观测性、搜索和 AI 应用的平台。Security 遥测、运营数据和 AI 驱动的工作流都运行在同一个基础之上,使团队能够利用完整的上下文而不是孤立的信号来调查威胁。
根据 IDC MarketScape 的数据,客户报告称无需重建架构即可将日志摄取量扩大五倍,且同一平台支持可观测性,能将价值扩展到安全团队之外。
您的环境。您的要求。
安全团队跨越云、本地、混合及高度监管的环境运作。Elastic 在自主管理、托管、无服务器和离线部署方面提供一致的体验,允许组织选择最适合其业务和监管要求的运营模式。
无论是支持数据主权要求、气隙环境,还是公共部门部署,Elastic 都能为客户提供灵活性,同时不影响功能。
按 IDC MarketScape 报告所述:“Elastic Security 在自主管理、托管、无服务器和离线部署中均具备功能对等性,支持有数据主权需求的组织的联合跨集群搜索。这种契合度符合公共部门、公用事业和跨国买家的需求,弥补了仅 SaaS 产品无法为其直接服务的不足。”
其中包括我们 FedRAMP 授权托管 SIEM 即服务平台,目前正用于美国网络安全与基础设施安全局的实际生产。
看得见、可验证的安全专业能力
许多安全平台要求客户信任检测、自动化和 AI 决策,却无法他们了解这些功能是如何运作的。
Elastic 采取了不同的方法。
检测内容以开放方式确定,符合 Elastic Common Schema 和 OpenTelemetry 规范,并由 Elastic Security Labs 持续更新。分析人员可以检查 AI 提示、工具调用、推理轨迹和响应,帮助团队理解和验证结论的得出过程。
客户还可以选择最符合您需求的模型,而不是被限制在单一供应商控制的 AI 技术栈中。
旨在保障安全,而非收费
安全团队不应该为了实现预防、检测、调查和响应而需要购买不同的产品。
Elastic 将 SIEM、XDR、终端保护、AI 驱动的调查和原生自动化整合在一个平台上。
Elastic Defend 是我们原生的 EDR 解决方案,也是 Elastic XDR 功能的基础,它不收取任何终端费用。Elastic Workflows 是我们原生的自动化引擎,以 YAML 格式定义,可在 Elastic Security 中原生运行,并可直接访问您的警报、案例和调查数据。Workflows 可以调用智能体作为智能步骤,智能体也可以调用 Workflows 作为工具来执行操作。对于许多 SOC 而言,Elastic Workflows 可以替代独立的 SOAR 许可证。它们共同帮助企业避免工具泛滥、消除运营摩擦并加快响应速度。
安全与可观测性建立在同一基础上
安全事件很少单独发生。
理解发生了什么,通常需要将安全遥测数据与应用、基础设施和运营数据进行关联。由于 Elastic Security 和 Elastic Observability 运行在同一平台上,团队可以使用相同的数据、分析和工作流程来调查威胁和运营问题。
我们相信,这一共同的基础有助于减少工具的碎片化,并能在日益复杂的环境中加快调查进度。
Elastic Security 基于企业现有的可观测性和日志分析平台构建。选择 Elastic 的安全采购方通常会扩展现有已投入生产的平台,而非新增一个平台。Elastic Common Schema 确保安全数据和运维数据共用同一查询语言。无论是调查服务质量下降的 SRE,还是调查横向移动警报的分析师,他们查询的都是同一个平台。将身份验证失败的激增与上游部署相关联,只需一个查询,无需启动新项目。
基于完整上下文构建的 AI
AI 的有效性取决于它能够获取的上下文信息。
Elastic 的 AI 功能直接构建在用于检测、调查和响应的同一数据平台上。AI 不是作为单独的层运行,而是可以对存储在 Elastic 中的安全遥测数据、运行数据、检测内容、案例和历史背景进行推理。
Attack Discovery、AI Assistant、Agent Builder 和 Elastic Workflows 等功能可帮助安全团队减少噪音、加快调查速度,并更快地从警报转为响应。
Attack Discovery 应用 LLM 推理将单个警报关联到更高级别的事件,从而为分析师提供完整的攻击脉络,而不只是一长串事件。目标不是将分析师排除在循环之外;这是为了确保分析师关注的是真实事件,而不是噪音。
Elastic AI Assistant 通过 Agent Builder 支持自然语言查询,并提供与上述相同的推理跟踪。其透明性是刻意为之:分析师可以准确了解模型的具体操作过程,这在针对真实威胁做出决策时至关重要。Agent Builder 还允许安全团队构建自定义 AI 智能体、技能和工具,从而使智能体工作流能够适应 SOC 的实际流程,而不是强迫流程去适应供应商的工作流。
展望未来
随着攻击者采用 AI,攻击时间线不断缩短,安全格局正在迅速变化。
我们持续投资于智能体式安全运营、人工智能驱动的调查、原生自动化、开放标准和安全工作流程,帮助组织在不牺牲可见性和控制力的前提下加快行动速度。
我们认为,安全运营的未来是一个平台,在该平台上,AI 负责调查、关联和准备工作,而分析师则负责判断、验证和监督。这一愿景将继续指导 Elastic Security 的创新。
请阅读节选内容
阅读 IDC MarketScape 报告节选或了解 Elastic Security 如何助力您的安全运营。Elastic Security 是一个智能体安全运营平台,集 SIEM、XDR 和原生自动化于一体,构建于已应用于安全、可观测性和搜索领域的数据和 AI 平台之上。
本文中描述的任何功能或功能性的发布和时间均由 Elastic 自行决定。当前尚未发布的任何功能或功能性可能无法按时提供或根本无法提供。
在本博文中,我们可能使用或提到了第三方生成式 AI 工具,这些工具由其各自所有者拥有和运营。Elastic 对第三方工具没有任何控制权,对其内容、操作或使用不承担任何责任或义务,对您使用此类工具可能造成的任何损失或损害也不承担任何责任或义务。请谨慎使用 AI 工具处理个人、敏感或机密信息。您提交的任何数据都可能用于 AI 训练或其他目的。Elastic 不保证您所提供信息的安全性或保密性。在使用任何生成式 AI 工具之前,您都应自行熟悉其隐私惯例和使用条款。
Elastic、Elasticsearch 及相关标志是 Elasticsearch N.V. 在美国和其他国家/地区的商标、徽标或注册商标。所有其他公司和产品名称均为其相应所有者的商标、徽标或注册商标。