Q:
По какво SIEM се различава от общото управление и мониторинг на журнала на събития?
A:По някакъв начин информацията за сигурност и управлението на събития (SIEM) е различна от нормалното, средно управление на дневника на събитията, което предприятията използват, за да разгледат уязвимостта и ефективността на мрежата. Въпреки това, като своеобразно покритие за редица технологии, SIEM е изградена по много начини на основния принцип за управление и мониторинг на дневника на събития. Най-голямата разлика може да бъде действителните техники и функции, които участват.
Като цяло SIEM е комбинация от управление на информацията за сигурност (SIM) и управление на събития за сигурност (SEM). Това означава, че SIEM системите включват много общо заснемане на цифрови записи в журнала, заедно с по-специфични системи, които разглеждат потребителските събития в контекст. Например, SEM или ресурс за управление на събития за сигурност може да бъде създаден за заснемане на различни видове специфични отчети за вход в акаунта, които са се случили на определено ниво на достъп, в определено време на деня или в определен модел, който мрежовите администратори могат да използват за да почувствате опасност или да се занимавате с различни видове административни въпроси. Въпреки това, система за управление на информацията за сигурност предлага по-широки отчети въз основа на всички събрани данни за мрежовия трафик.
Някои експерти са дефинирали идеи как SIEM замества средния инструмент за наблюдение на дневника на събитията. Например, някои предполагат, че основната стойност на SIEM е в по-специфични доклади и по-специфични характеристики, които разкриват повече за развити резултати в мрежа. Когато мониторингът и управлението на дневника на събитията може просто да предлагат общ изглед на това, което се генерира в процеса на логване, инструментите на SIEM могат да предложат много патентова стойност, по отношение на това наистина да влезете в мрежова дейност и да видите какво става в една мрежа.
