Q:
Jaký je rozdíl mezi SEM, SIM a SIEM?
A:Jako tři velmi podobné, ale odlišné typy procesů, mají tři zkratky SEM, SIM a SIEM tendenci být zmateny nebo způsobovat zmatek pro ty, kteří jsou relativně neznámí s bezpečnostními procesy.
Jádrem problému je podobnost mezi správou bezpečnostních událostí nebo SEM a správou bezpečnostních informací nebo SIM.
Oba tyto typy shromažďování informací mají co do činění se shromažďováním informací o protokolu zabezpečení nebo jiných podobných dat pro dlouhodobé ukládání, nebo k analýze bezpečnostního prostředí sítě.
Klíčový rozdíl spočívá v tom, že při správě bezpečnostních informací tato technologie jednoduše shromažďuje informace z protokolu, který se může skládat z různých typů dat. Při správě bezpečnostních událostí se technologie blíže zaměřuje na konkrétní typy událostí. Odborníci například často uvádějí „superuživatelskou událost“ jako něco, co by technologie pro správu bezpečnostních událostí hledala. Můžete si představit technologie, které jsou speciálně navrženy tak, aby vyhledávaly podezřelé autentizace, přihlašování k účtu nebo přístup k správě na vysoké úrovni v určitých denních či nočních hodinách.
Zkratka SIEM nebo správa bezpečnostních informací označuje technologie s určitou kombinací správy bezpečnostních informací a správy bezpečnostních událostí. Protože jsou již velmi podobné, může být širší zastřešující pojem užitečný při popisu moderních bezpečnostních nástrojů a zdrojů. Klíčem je opět odlišení sledování událostí od sledování obecných informací. Dalším klíčovým způsobem, jak tyto dva odlišit, je podívat se na správu bezpečnostních informací jako na druh dlouhodobého nebo širšího procesu, kde lze metodičtěji analyzovat rozmanitější soubory dat. Naproti tomu správa bezpečnostních událostí se znovu zaměřuje na konkrétní typy uživatelských událostí, které mohou představovat červené příznaky nebo informovat správce o konkrétních činnostech v síti.
