3月1日，Splunk意图以3.5亿美元收购Phantom网络公司的消息放出。就像几年前IBM并购 Resilient Systems 一样，Splunk决定向其安全信息与事件管理(SIEM)平台中加入专用的安全运营自动化与编配工具集。

Splunk并购Phantom的四大原因

Splunk为什么会做出这个并购决定呢？因为它想做下面4件事：

1. 锚定其自适应响应计划

过去几年，Splunk支持名为适应性响应的框架，该框架提供安全分析与安全控制间的闭环过程自动化。分析工具可以被设置为在检测到问题时触发某种形式的响应，比如执行漏洞扫描、创建新的防火墙规则、隔离向命令与控制服务器发出消息的网络节点等。虽然Splunk仍将向其他平台(Demisto、Resolve Systems、Siemplify、ServiceNow、Swimlane等)开放自适应响应，Phantom将成为其实际上的过程自动化/编配粘合剂。希望Splunk会开始众包自适应响应方法，就像它之前在dashboard方面的成功案例一样。

2. 利用市场动能

安全运营自动化和编配已经开始加速发展。企业战略集团(ESG)的研究表明，19%的企业组织(比如超1000员工数的企业)已经在广泛引入安全运营自动化和编配技术，39%正有限度的开展此项工作，26%参与了增加安全运营自动化与编配技术的项目，13%计划在未来实现安全运营自动化与编配技术。Splunk在过去就支持该市场增长，如今该公司可推动并利用此趋势了。

3. 帮助客户增加生产力

企业拥抱安全运营自动化与编配的原因很简单，因为他们的安全团队已经应付不来日渐增多的安全警报、调查和修复任务了。在全球信息安全人才短缺情况十分严峻，51%的企业坦陈头疼网络安全人手不足问题的形势下，安全运营自动化与编配技术就显得特别重要了。Splunk想用Phantom令其客户更具生产力，解放他们的时间，让他们利用核心Splunk来收集、处理和分析更多数据。

4. 继续打造企业级SOAPA

Splunk一直在围绕其核心SIEM添加功能，比如行为分析、监管合规、欺诈检测和内部人威胁检测。在本次并购之前，Splunk与其合作伙伴就有着坚实有效SOAPA产品。随着Phantom的加入，Splunk的SOAPA功能就更加强大，覆盖面也更广了。这就让Splunk可以进行跨越数年的大型安全运营系统集成项目。主流系统集成商有望加入这个潮流。

未来：

• Splunk和Phantom如果与服务提供商合作，帮助企业打造和设计SOC，搞定常规事件响应计划(IR)。这可能是数亿美元级别的商业机会。
• Phantom是安全自动化与编配领域的老玩家，具备扎实的理论基础，但受其规模和资源所限，它传播此知识的能力并不突出。Splunk应该能促进其市场营销、培训和教育，令安全自动化与编配概念更深入人心。
• 时机就是一切。Splunk和Phantom应利用好未来几年里GDPR的部署、改进与市场对GDPR的恐慌情绪。
• 该并购能进一步阐明市场，敲山震虎，让安全领域的其他厂商，比如 Check Point、思科、Forcepoint、飞塔、迈克菲、Palo Alto Networks和赛门铁克等，抓紧设置自己的安全运营自动化/编配提供商。