K:
Miben különbözik a SIEM az általános eseménynapló-kezeléstől és -figyeléstől?
A:Bizonyos szempontból a biztonsági információk és az eseménykezelés (SIEM) különbözik a szokásos, átlagos eseménynapló-kezeléstől, amelyet a vállalkozások a hálózati sebezhetőség és a teljesítmény vizsgálatára használnak. Ugyanakkor, mint egyfajta általános kifejezés számos technológia számára, a SIEM sok szempontból épül az eseménynapló kezelésének és megfigyelésének alapelvére. A legnagyobb különbség a ténylegesen alkalmazott technikák és jellemzők között lehet.
Általában a SIEM a biztonsági információkezelés (SIM) és a biztonsági eseménykezelés (SEM) kombinációja. Ez azt jelenti, hogy a SIEM rendszerek sok általános rögzítést tartalmaznak a digitális napló rögzítéséről, valamint a felhasználók eseményeit kontextusban vizsgáló konkrétabb rendszerekről. Például egy SEM vagy egy biztonsági eseménykezelő erőforrás felállítható különféle típusú jelentések rögzítéséhez a fiókok bejelentkezésein, amelyek egy bizonyos hozzáférési szinten, a nap egy bizonyos időpontjában vagy egy olyan mintában zajlottak, amelyet a hálózati rendszergazdák használhatnak a veszély érzékelése vagy különféle típusú adminisztratív kérdések kezelése. A biztonsági információkezelő rendszer azonban szélesebb jelentéseket kínál a hálózati forgalomról összegyűjtött összesített adat alapján.
Egyes szakértők meghatároztak ötleteket arra, hogy az SIEM hogyan helyettesíti az átlagos eseménynapló-megfigyelő eszközt. Például néhányan azt sugallják, hogy a SIEM legfőbb értéke a konkrétabb jelentésekben és a jellemzőbb jellemzőkben rejlik, amelyek többet mutatnak a hálózat fejlett eredményeiről. Ahol az eseménynapló-megfigyelés és -kezelés csak általános képet nyújthat arról, hogy mi keletkezik egy naplófolyamatban, a SIEM-eszközök nagyon sok tulajdonosi értéket kínálnak, valójában a hálózati tevékenységbe való belépés és a hálózatban zajló események megfigyelése szempontjából.
