Q:
Jak se SIEM liší od správy a monitorování protokolu událostí?
A:V některých ohledech se bezpečnostní informace a správa událostí (SIEM) liší od běžné, průměrné správy protokolů událostí, kterou podniky používají ke sledování zranitelnosti a výkonu sítě. Jako druh plošného termínu pro řadu technologií je však SIEM v mnoha ohledech postaven na základním principu správy a monitorování protokolu událostí. Největším rozdílem mohou být skutečné techniky a funkce.
Obecně je SIEM kombinací správy bezpečnostních informací (SIM) a správy bezpečnostních událostí (SEM). To znamená, že systémy SIEM obsahují mnoho obecných zaznamenávání záznamu digitálního protokolu, jakož i konkrétnější systémy, které se v kontextu s uživateli dívají na události uživatelů. Například prostředek SEM nebo prostředek správy událostí zabezpečení může být nastaven tak, aby zachycoval různé druhy specifických zpráv o přihlašovacích účtech, ke kterým došlo na určité úrovni přístupu, v určité denní době nebo v určitém vzoru, který mohou správci sítě použít. cítit nebezpečí nebo řešit různé typy administrativních záležitostí. Systém správy bezpečnostních informací však nabízí širší zprávy založené na všech agregovaných datech, která se shromažďují o síťovém provozu.
Někteří odborníci definovali myšlenky, jak společnost SIEM nahrazuje nástroj pro sledování průměrných událostí. Například, někteří navrhnou, že hlavní hodnota SIEM je ve více specifických zprávách a více specifických rysech, které odhalí více o rozvinutých výstupech v síti. Tam, kde monitorování a správa protokolu událostí může jen nabídnout obecný pohled na to, co se generuje v procesu záznamu, mohou nástroje SIEM nabídnout spoustu patentované hodnoty, pokud jde o skutečné zapojení do síťové aktivity a sledování toho, co se v síti děje.