个人经验:优点：架构成熟稳定，支持快速部署，可扩展性比较好，有不少默认规则，提供较丰富的API，可使用第三方开发的APP增强功能，当然如果能力足够强的话也可以自己开发APP。缺点：本地支持能力有限。默认规则往往需要做较大调整才能适应实际环境。基于界面的日志搜索不太灵活，比较耗时...

这主要是因为Qradar和其他SIEM产品在对待攻击所作出的响应有所差别，通常的SIEM产品是每条规则都会产生一个报警，但qradar的“攻击“组件，则会自动的将不同规则触发的报警智能的归并成一条”攻击“事件，通过优化，一般每天处理的攻击事件可以控制在最多几十个之内。...