Î:
Cum diferă SIEM de gestionarea și monitorizarea jurnalului de evenimente generale?
A:În unele moduri, informațiile de securitate și gestionarea evenimentelor (SIEM) sunt diferite decât gestionarea normală, medie a jurnalului de evenimente pe care întreprinderile o folosesc pentru a privi vulnerabilitatea și performanța rețelei. Cu toate acestea, ca un fel de termen curat pentru o serie de tehnologii, SIEM este construit în multe moduri pe principiul principal al gestionării și monitorizării jurnalului de evenimente. Cea mai mare diferență poate fi tehnicile și caracteristicile reale implicate.
În general, SIEM este o combinație de gestionare a informațiilor de securitate (SIM) și gestionarea evenimentelor de securitate (SEM). Ceea ce înseamnă asta este că sistemele SIEM încorporează o mulțime de capturi generale de înregistrare digitală a jurnalului, împreună cu sisteme mai specifice care privesc evenimentele utilizatorului în context. De exemplu, o SEM sau o resursă de gestionare a evenimentelor de securitate poate fi configurată pentru a surprinde diferite tipuri de rapoarte specifice pe loginele contului care s-au întâmplat la un anumit nivel de acces, la o anumită oră a zilei sau într-un anumit tipar pe care administratorii de rețea îl pot utiliza pentru a sesiza pericol sau pentru a trata diverse tipuri de probleme administrative. Cu toate acestea, un sistem de gestionare a informațiilor de securitate oferă rapoarte mai ample bazate pe toate datele cumulate care sunt colectate despre traficul de rețea.
Unii experți au definit idei despre modul în care SIEM înlocuiește instrumentul mediu de monitorizare a jurnalului de evenimente. De exemplu, unii sugerează că valoarea majoră a SIEM este în rapoartele mai specifice și în mai multe caracteristici specifice care dezvăluie mai multe despre rezultatele dezvoltate într-o rețea. În cazul în care monitorizarea și gestionarea jurnalelor de evenimente pot oferi doar o vedere generică a ceea ce este generat într-un proces de jurnal, instrumentele SIEM pot oferi o valoare deosebită a proprietății, în ceea ce privește intrarea cu adevărat în activitatea rețelei și a vedea ce se întâmplă într-o rețea.