Q:
Aký je rozdiel medzi SEM, SIM a SIEM?
A:Ako tri veľmi podobné, ale zreteľné typy procesov, majú tri skratky SEM, SIM a SIEM tendenciu byť zmätené alebo spôsobiť zmätok pre tých, ktorí sú relatívne oboznámení s bezpečnostnými procesmi.
Jadrom problému je podobnosť medzi správou bezpečnostných udalostí alebo SEM a správou bezpečnostných informácií alebo SIM.
Obidva tieto typy zhromažďovania informácií súvisia so zhromažďovaním informácií z denníka zabezpečenia alebo inými podobnými údajmi na dlhodobé ukladanie alebo s analýzou bezpečnostného prostredia siete.
Kľúčový rozdiel spočíva v tom, že pri správe bezpečnostných informácií technológia jednoducho zhromažďuje informácie z denníka, ktorý môže pozostávať z rôznych typov údajov. Pri riadení bezpečnostných udalostí sa technológia podrobnejšie zaoberá konkrétnymi typmi udalostí. Napríklad odborníci často uvádzajú „superužívateľskú udalosť“ ako niečo, čo by technológia správy bezpečnostných udalostí hľadala. Môžete si predstaviť technológie špeciálne navrhnuté tak, aby hľadali podozrivé autentifikácie, prihlasovacie údaje k účtu alebo prístup na vyššiu úroveň riadenia v konkrétnych denných alebo nočných hodinách.
Skratka SIEM alebo správa bezpečnostných udalostí označuje technológie s určitou kombináciou správy bezpečnostných informácií a riadenia bezpečnostných udalostí. Keďže sú už veľmi podobné, širší zastrešujúci pojem môže byť užitočný pri opise moderných bezpečnostných nástrojov a zdrojov. Kľúčom je opäť odlíšenie monitorovania udalostí od monitorovania všeobecných informácií. Ďalším kľúčovým spôsobom, ako rozlíšiť tieto dva, je pozrieť sa na správu bezpečnostných informácií ako druh dlhodobého alebo širšieho procesu, v ktorom možno metodickejšie analyzovať rozmanitejšie súbory údajov. Naopak, správa bezpečnostných udalostí opäť skúma konkrétne typy užívateľských udalostí, ktoré môžu predstavovať červené príznaky alebo informovať správcov o konkrétnych veciach týkajúcich sa sieťovej aktivity.