Читаем мой первый ответ внимательно. Разные классы систем, разные функции. SIEM - это не только и не сколько уведомления. www.securitylab.ru/analytics/430777.php - рекомендую прочитать матчасть.
Ну и простой совет. Если вы не знаете зачем вам SIEM - не покупайте SIEM.
Для начала нужно ответить на просто вопрос - а нужно ли оно вам вообще?
Эти системы нужны для обеспечения процесса ИБ, отчетности, комплайансов, без четкого понимания векторов возможных атак и чего хочется смотреть - смысла в этих системах нет совершенно никакого.
Лучше пользоваться более полезными с точки зрения ИТ-специалиста инструментами.
Сравнивать системы монторинга и системы сбора и корреляции некорректно. Это разные решения. С разными сферами применения.
Хранение нормализованных событий (Заббикс сам по себе не хранит чужие события), возможность написания сложных корреляций (не надо возиться с тэгами), автоматическая проверка соответствия комплаенсам и прочая и прочая.
Направленность тоже разная. SIEM - это удел безопасников, Zabbix - технически специалистов.
Отмечу, что у всех лидеров свои недостатки.
HP ArcSight - потрясающая платформа для аналитики, но с инфраструктурной точки зрения весьма проблемный продукт (15 лет не было полноценного обеспечения redundancy ESM, например).
IBM QRadar - просто в развертывании, прозрачные схемы лицензирования, но аналитика пока хромает (для того чтобы использовать логический оператор OR в правилах - нужно создать 2 правила с разными параметрами, например. Ролевая модель вообще заставляет прослезиться).
McAfee ESM - имеет относительно низкий порог вхождения и стоимость, но для того, чтобы добиться функционала ArcSight или QRadar - следует купить n-ое кол-во дополнительных продуктов.
Так что USM - очень разумный выбор, особенно если основная цель - обеспечение соответствия тому же PCI DSS.
www.securitylab.ru/analytics/430777.php - рекомендую прочитать матчасть.
Ну и простой совет. Если вы не знаете зачем вам SIEM - не покупайте SIEM.