思科终于公开承认它的安全信息和监视设备将不增加对第三方设备的支持，从而结束了人们对思科安全监控、分析和响应系统(MARS)前途的推测。一些人称，这是MARS结束多厂商SIEM(安全信息和事件管理)设备的开始。

　　思科在声明中宣布，MARS用户可以期待着非思科网络设备数据和特征升级以便继续使用当前支持的第三方的系统。但是，思科不增加新的第三方设备的支持。思科MARS继续把重点放在支持思科自己的识别和缓解威胁的设备方面。

　　MARS设备目前有大约4000个用户。思科被认为是最大的SIEM厂商。思科私下一直对其中一些用户说它打算冻结对第三方设备的技术支持。但是，到目前为止，思科还一直没有发表公开的声明。

　　由于SIEM设备一般都用于整合来自多个厂商来源的警报和事件数据，MARS将不支持新的非思科设备的事实表明，如果用户担心的主要问题是第三方厂商的技术支持问题，用户现在必须要考虑从第三方厂商转移到思科。Gartner和Enterprise Strategy Group的分析师都主张这样做。

　　Enterprise Strategy Group的分析师Jon Oltsik说，思科承认MARS的技术支持问题是可信的。有关产品、客户支持和现场销售的传言已经有一年多时间了。在将来，我希望思科能够提前说明其产品计划，及时地解决这样的问题。这里优先考虑的问题必须是改善的安全，而不是专有的业务日程。

　　思科的SIEM竞争对手本星期迫切地希望了解有关思科MARS设备冻结第三方技术支持的话题，因为分析师Mark Nicolett在10月29日发表的Gartner研究报告中说，思科已经悄悄地开始通知其客户它决定冻结对其MARSh产品的大多数非思科事件来源的支持。

　　Nicolett在研究报告中说，虽然思科没有正式宣布它打算退出SIEM市场，但是，思科的销售团队正在鼓励其MARS用户寻找非思科事件来源的记录收集和事件分析方面的替代产品。

　　按照Gartner的观点，这个事情的全部影响是，对于寻求第三方厂商提供将来的技术支持的任何人来说，MARS不再被看作是一种可行的SIEM。需要支持非思科事件来源的机构应该考虑迁移到可行的SIEM解决方案。

　　Nicolett说，他发表这篇研究报告是因为他碰巧从使用MARS产品的Gartner客户的讨论中了解到了这种情况，而不是直接从思考了解到的情况，尽管在他询问思科这个问题的时候思科证实了这个变化。

　　Nicolett说，由于思科已经包含在Gartner有影响力的今年春季的“关于SIEM的魔力象限(Magic Quadrant)报告”中，思科当时还没有提供战略转变的任何线索，他认为把他发现的情况立即通知给Gartner客户是非常重要的。

　　Nicolett说，MARS曾广泛支持第三方的设备。但是，现在可以认为MARS将来不再支持第三方设备。Gartner不准备回头修改今年春季的SIEM魔力象限报告。但是，Gartner在10月29日发表的研究报告中在涉及到MARS作为非思科的SIEM设备时，不得不考虑它目前发现的情况。

　　SIEM厂商ArcSight负责产品营销的副总裁 Rick Caccia说，Gartner的研究报告似乎引起了MARS用户的担心。ArcSight的产品支持包括MARS在内的300多种产品，使用一个连接器工具集支持1500多种其它的产品。Caccia说，思科被认为是这个市场中最大的SIEM厂商。但是，这篇研究报告向这个市场投了一个炸弹。