2010年Cisco终止了他们的SIEM产品——Cisco MARS。今年，RSA也决定停止开发他们的SIEM产品——enVision。不过，他们将继续维持SIEM产品线。只是，未来的RSA的SIEM产品将会由他们之前并购的NetWitness的产品来承担。RSA将其命名为Security Analytics。这个产品的范围将大于SIEM，并被标记为BDA产品。

这其实也不能算是意外，当RSA并购NetWitness的时候，就已经注定了。RSA将未来都投资到NetWitness上了。当时在NetWitness产品线中就有分析日志的功能。而RSA也认识到仅仅分析日志对于安全管理而言是远远不够的。一个事实就是当年RSA被***APT攻破后，他们就是用NetWitness才发现了问题。我想这也是促成他们决心收购NetWitness的原因之一。NetWitness的核心是FPI（全包分析），我以前的博文分析过FPI/FPC类的技术，这里就不谈了。

当然，RSA否认他们现在就会终结enVision，只是停止新的开发，维护继续。这里可以看到enVision的生命周期，最新的版本已经释出，但终结日期未决。从linkedIn的信息来看，可能有些enVision的客户已经内部获得了这方面的通知，并被告知如果有新的SIEM投资的话，建议专项Security Analytics产品线。

今年年初，VisibleRisk公司就此事致函RSA，得到的答复如下：

“RSA enVision will continue to be supported and maintained separate of RSA Security Analytics.  For both our NetWitness and enVision customers, we see this as a natural evolution as they build out or modernize their security operations centers.  While we truly believe that Security Analytics is the future of security monitoring, we understand that the migration to something new isn’t a trivial event.  We will be working with each of our customers to create a plan that meets their functionality and timing requirements and for those that want to continue with their current environment, we will support that.”

各位如果访问RSA的英文网站，会发现你怎么也找不到enVision了，在SIEM专栏中取而代之的是enVision。但在中国网站中，你还能看到enVision（英文内容），并且Security Analytics也并列放到SIEM专栏之下。的确，中国市场不是RSA的主要市场，也比美国市场要慢很多。enVision在美国过时了，但是对中国客户而言可能还是“时髦”的选择。这笔投资的边际效应还不小，没必要自掘坟墓。也许，enVision会在中国市场甩货清仓大处理吧，尤其是那些硬件盒子库存。呵呵。

最后，我的建议：如果你已经买了enVision，那么你就和RSA谈清楚未来的支持策略和迁移roadmap。如果你还没有买enVision，那么你就要小心评估一下，是继续玩enVision？还是转而拥抱Security Analytics？抑或是转而寻找其他厂商的SIEM产品？