Vsebina
V:
V čem se SIEM razlikuje od upravljanja in spremljanja dnevnika splošnih dogodkov?
A:
Na nek način so varnostne informacije in upravljanje dogodkov (SIEM) drugačne od običajnega, povprečnega upravljanja dnevnika dogodkov, ki ga podjetja uporabljajo za pregled ranljivosti in učinkovitosti omrežja. Vendar pa je SIEM kot nekakšen splošni izraz za številne tehnologije zasnovan na temeljnem načelu upravljanja in spremljanja dnevnika dogodkov. Največja razlika so lahko dejanske vključene tehnike in lastnosti.
Na splošno je SIEM kombinacija upravljanja varnostnih informacij (SIM) in upravljanja varnostnih dogodkov (SEM). To pomeni, da sistemi SIEM vključujejo veliko splošnega zajemanja digitalnih zapisov dnevnika, skupaj z bolj specifičnimi sistemi, ki v zadregi gledajo na uporabniške dogodke. Na primer, lahko sestavi vir SEM ali varnostni dogodek za zajem različnih vrst posebnih poročil o prijavah računov, ki so se zgodile ob določeni ravni dostopa, v določenem času ali v določenem vzorcu, ki ga lahko uporabljajo omrežni skrbniki. zaznati nevarnost ali se ukvarjati z različnimi vrstami upravnih vprašanj. Vendar sistem za upravljanje varnostnih informacij ponuja širša poročila, ki temeljijo na vseh zbirnih podatkih, zbranih o omrežnem prometu.
Nekateri strokovnjaki so opredelili ideje, kako SIEM nadomešča povprečno orodje za spremljanje dnevnika dogodkov. Nekateri na primer nakazujejo, da je glavna vrednost SIEM v bolj specifičnih poročilih in bolj specifičnih lastnostih, ki razkrivajo več o razvitih rezultatih v mreži. Kadar spremljanje in upravljanje dnevnika dogodkov lahko ponuja splošen pogled na to, kaj se ustvari v dnevniškem procesu, lahko orodja SIEM nudijo veliko lastniške vrednosti v smislu resnično vključitve v mrežne dejavnosti in gledanja, kaj se dogaja v omrežju.