Q:
Ako sa SIEM líši od správy a monitorovania protokolov udalostí?
A:V niektorých ohľadoch sa bezpečnostné informácie a správa udalostí (SIEM) líšia od bežnej, priemernej správy protokolov udalostí, ktorú podniky používajú na zistenie zraniteľnosti a výkonnosti siete. Ako istý druh termínov pre rad technológií je však SIEM v mnohých ohľadoch postavený na základnom princípe správy a monitorovania protokolov udalostí. Najväčší rozdiel môžu spočívať v skutočných technikách a vlastnostiach.
Vo všeobecnosti je SIEM kombináciou správy bezpečnostných informácií (SIM) a správy bezpečnostných udalostí (SEM). To znamená, že systémy SIEM zahŕňajú veľa všeobecného zaznamenávania záznamu digitálnych protokolov spolu so špecifickejšími systémami, ktoré sa zaoberajú udalosťami používateľov v kontexte. Napríklad SEM alebo prostriedok správy bezpečnostných udalostí možno nastaviť na zachytenie rôznych druhov konkrétnych správ o prihláseniach k účtom, ktoré sa udiali na určitej úrovni prístupu, v určitom čase dňa alebo v určitom vzore, ktorý môžu správcovia siete použiť. cítiť nebezpečenstvo alebo riešiť rôzne druhy administratívnych záležitostí. Systém správy bezpečnostných informácií však ponúka širšie správy založené na všetkých súhrnných údajoch, ktoré sa zhromažďujú o sieťovej prevádzke.
Niektorí odborníci definovali myšlienky o tom, ako spoločnosť SIEM nahrádza nástroj na sledovanie priemerného záznamu udalostí. Niektorí napríklad naznačujú, že hlavnou hodnotou SIEM sú konkrétnejšie správy a konkrétnejšie vlastnosti, ktoré odhaľujú viac o rozvinutých výsledkoch v sieti. Tam, kde monitorovanie a správa protokolov udalostí môže ponúkať iba všeobecný pohľad na to, čo sa generuje v protokolovom procese, nástroje SIEM môžu ponúknuť veľa patentovanej hodnoty, pokiaľ ide o skutočné zapojenie sa do sieťovej aktivity a zistenie, čo sa v sieti deje.