Q:
Kuo SIEM skiriasi nuo bendro įvykių žurnalo valdymo ir stebėjimo?
A:Kai kuriais būdais saugos informacija ir įvykių valdymas (SIEM) skiriasi nuo įprasto, vidutinio įvykių žurnalo valdymo, kurį įmonės naudoja tinklo pažeidžiamumui ir našumui įvertinti. Tačiau kaip savotiškas terminas, apibūdinantis įvairias technologijas, SIEM daugeliu atžvilgių yra paremtas pagrindiniu įvykių žurnalo valdymo ir stebėjimo principu. Didžiausias skirtumas gali būti faktiniai metodai ir funkcijos.
Paprastai SIEM yra saugumo informacijos valdymo (SIM) ir saugos įvykių valdymo (SEM) derinys. Tai reiškia, kad SIEM sistemos apima daug bendro skaitmeninio žurnalo įrašymo fiksavimo, kartu su konkretesnėmis sistemomis, kurios nagrinėja vartotojo įvykius kontekste. Pvz., SEM ar saugos įvykių valdymo šaltinis gali būti įsteigtas siekiant užfiksuoti įvairių rūšių specifines ataskaitas apie prisijungimus, kurie įvyko tam tikru prieigos lygiu, tam tikru dienos metu arba tam tikru modeliu, kurį tinklo administratoriai gali naudoti pajusti pavojų arba spręsti įvairius administracinius klausimus. Tačiau saugos informacijos valdymo sistema siūlo platesnes ataskaitas, paremtas visais sukauptais duomenimis apie tinklo srautą.
Kai kurie ekspertai apibrėžė idėjas, kaip SIEM pakeis vidutinio įvykių žurnalo stebėjimo įrankį. Pvz., Kai kurie mano, kad didžiausia SIEM reikšmė yra konkretesnėse ataskaitose ir konkretesnėse ypatybėse, kurios daugiau atskleidžia apie sukurtus tinklo rezultatus. Tais atvejais, kai įvykių žurnalo stebėjimas ir valdymas gali pasiūlyti bendrą vaizdą apie tai, kas generuojama prisijungimo procese, SIEM įrankiai gali suteikti didelę nuosavybės vertę, kalbant apie realų įsitraukimą į tinklo veiklą ir matymą, kas vyksta tinkle.
