请问，在选择SIEM系统构建SOC平台时，是选择开源还是商业化的产品？国内这方面都有那些知名的企业？

可以试试国产商业化产品：日志易。
日志易经过大量的安全日志分析项目实践，认为企业面临的威胁应该划分为三种：
（1）已知威胁，即可以通过规则定义出来的威胁场景，也是专家经验固化的检测对象；
（2）可疑威胁，即不能马上确认有问题，需要进一步展开调查分析的威胁；
（3）未知威胁，即在认知之外的威胁，如不是出现某个偶然事件，引起调查分析，是不能够被发现。
日志易，是兼具关联分析和异常分析能力的分析平台，全面支持各种威胁类型（已知威胁、可以威胁以及未知威胁）的检测、分析与响应。平台基于日志易数据搜索引擎，通过流批处理计算框架，对企业的日志、流量数据进行深度关联，并结合资产信息、漏洞信息，进行威胁自动化响应处置，提高用户在安全运营方面的决策能力。
一、日志易功能简要介绍
1、威胁检测
一个安全事件（不管是哪种类型的威胁），往往需要多方面的信息，才能确认该安全事件的详细情况，如威胁源头，威胁频率，威胁横向扩展情况，威胁结果等。日志易将通过通过安全场景自动化检测，结合原始事件的取证能力，关联展示证据链条，为用户提供所需的判断依据，从而提高用户威胁分析能力。
2、调查分析
针对可疑事件，可以通过日志易展开进一步调查分析，分析该事件的横向扩散情况，是否引发其他安全事件，结果是什么（正常事件还是异常事件？成功还是失败？）。
3、资产管理
进行威胁分析或者风险分析的前提是，先进行资产识别。而资产识别的关键在于对资产的全生命周期进行管理。日志易支持多种资产识别方式，可以针对新增资产、资产变更（版本变更、服务变更等）进行识别，在进行威胁分析时，可以提供准确且有关联的内部资产情报，帮助用户在大量的安全事件中划分好优先级。
4、漏洞中心
资产往往存在脆弱性，如果在威胁分析时，能同步结合威胁、资产以及漏洞的信息进行综合判断，将对事件的优先级进行有效判断，为正常输出的海量告警提供优先级指引。
二、日志易特点介绍：
1、异常事件检测：结合自动化检测规则，发现异常事件，如新出现的文件、新出现的进程、新出现的用户；
2、详细用户分权：可通过控制数据权限，多角色参与安全事件的处置，实现安全事件的闭环管理，提高闭环处置效率；
3、威胁、漏洞以及资产关联：通过利用威胁影响的资产，资产存在的漏洞以及威胁利用的漏洞，三方面的关系，形成威胁风险的关系维度，可指引用户更好地对安全事件进行优先级高低处置。