首先我认为这两者是一个子集、包含的关系。SIEM其实包含FortiAnalyzer的功能，其次，FortiSIEM不单可以兼容Fortinet自己的产品，像FortiGate、FortiWeb、FortiAnalyzer、SOC 等，同时它也可以兼容第三方产品，主流的像思科、赛门铁克等产品。

但是FortiAnalyzer不一样，它日志分析较SIEM弱，只能够对Fortinet体系内的产品做日志分析，它没有办法像 SIEM 一样海纳百川，可以对接多个其他厂商的产品。

这就是二者的关系。FortiAnalyzer和SOAR有点相像，可以理解为FortiAnalyzer是一个集成了 SIEM 和 SOAR 的一款轻量级的、更针对于Fortinet产品的产品。

对于过去没有任何 Web 防护的企业，部署FortiWeb如何体现它的WAF价值？虽然每个企业可能会不太一样，每个行业也不太一样，但仍有可深入的空间：

通过漏洞扫描前后对比。这只是一个表象，因为漏扫要讲究客观性，确实部署了FortiWeb之后，漏洞数量直接降低，这种前后数据对比是很客观。

但是漏扫是一个预防性的手段，它并不是一个事中干预性的操作。所以，对于部署FortiWeb后，漏洞扫描的结果前后对比可以说有一定的参考意义，但却不能完全的体现这个产品的真实价值。

关键点一，FortiWeb有没有影响到正常的业务转发？很多时候部署安全产品就意味着一定会跟业务部门打交道，所以我们首先要去判断部署设备对业务产生的影响到底有多大，如果对业务产生的影响很小，就像Fortinet的很多产品采用高性能自研ASIC芯片，对业务的影响是微乎其微的。即首先保证了业务的连续性，使得业务的正常转发不被影响，然后再谈防护价值。

关键点二，通过定期漏扫、渗透测试来检验部署的安全防护设备有没有起到安全防护作用。安全部门要体现价值确实存在一定难度，但并不是完全无办法。除了漏扫、渗透测试，企业也可以定期开展红蓝对抗，这样部署的WAF更能够通过可视化以及防护数据体现价值。

一旦红蓝对抗成为常态，企业的CEO、CFO会看到每年受到的攻击频次逐渐下降。就如以往每年大概要处理 100 件安全事件，或者是这 100 个事件要造成多大的损失，现在部署了WAF，并常态化红蓝对抗，安全事件降低到多少、损失降低到多少都可以换算成部署WAF的防护价值。