P:
Czym różni się SIEM od ogólnego zarządzania dziennikiem zdarzeń i monitorowania?
ZA:Pod pewnymi względami informacje o bezpieczeństwie i zarządzanie zdarzeniami (SIEM) różnią się od zwykłego, przeciętnego zarządzania dziennikiem zdarzeń, którego używają firmy do sprawdzania podatności na zagrożenia i wydajności sieci. Jednak jako rodzaj ogólnego określenia szeregu technologii SIEM jest pod wieloma względami oparty na podstawowej zasadzie zarządzania dziennikiem zdarzeń i monitorowania. Największą różnicą mogą być faktyczne techniki i funkcje.
Zasadniczo SIEM jest połączeniem zarządzania informacjami o bezpieczeństwie (SIM) i zarządzania zdarzeniami bezpieczeństwa (SEM). Oznacza to, że systemy SIEM zawierają wiele ogólnych funkcji rejestrowania cyfrowego zapisu dziennika, a także bardziej szczegółowe systemy, które patrzą na zdarzenia użytkownika w kontekście. Na przykład można skonfigurować SEM lub zasób zarządzania zdarzeniami bezpieczeństwa, aby przechwytywać różnego rodzaju określone raporty dotyczące logowania się na konta, które miały miejsce na określonym poziomie dostępu, o określonej porze dnia lub według określonego wzorca, z którego mogą korzystać administratorzy sieci wyczuwać niebezpieczeństwo lub radzić sobie z różnego rodzaju kwestiami administracyjnymi. Jednak system zarządzania informacjami o bezpieczeństwie oferuje szersze raporty oparte na wszystkich zbiorczych danych zebranych o ruchu w sieci.
Niektórzy eksperci zdefiniowali pomysły, w jaki sposób SIEM zastępuje narzędzie do monitorowania dzienników zdarzeń. Na przykład niektórzy sugerują, że główną wartością SIEM są bardziej szczegółowe raporty i bardziej szczegółowe funkcje, które ujawniają więcej na temat opracowanych wyników w sieci. Tam, gdzie monitorowanie i zarządzanie dziennikiem zdarzeń może zaoferować ogólny widok tego, co generuje się w procesie rejestrowania, narzędzia SIEM mogą zaoferować wiele zastrzeżonych wartości, jeśli chodzi o naprawdę wchodzenie w aktywność sieci i sprawdzanie, co dzieje się w sieci.
