Q:
Чем SIEM отличается от общего управления и мониторинга журналов событий?
A:В некоторых отношениях управление информацией о безопасности и событиях (SIEM) отличается от обычного, среднего управления журналами событий, которое компании используют для оценки уязвимости и производительности сети. Однако, как своего рода общий термин для ряда технологий, SIEM во многом построен на основе основного принципа управления журналом событий и мониторинга. Самое большое различие может быть фактическими методами и задействованными функциями.
Обычно SIEM представляет собой комбинацию управления информацией о безопасности (SIM) и управления событиями безопасности (SEM). Это означает, что системы SIEM включают в себя много общего захвата записи цифрового журнала, наряду с более конкретными системами, которые рассматривают пользовательские события в контексте. Например, SEM или ресурс управления событиями безопасности могут быть настроены для захвата различных видов конкретных отчетов о входах в учетную запись, которые произошли на определенном уровне доступа, в определенное время дня или по определенному шаблону, который могут использовать сетевые администраторы. ощущать опасность или заниматься различными видами административных вопросов. Однако система управления информацией о безопасности предлагает более широкие отчеты, основанные на всех совокупных данных, которые собираются о сетевом трафике.
Некоторые эксперты определили идеи о том, как SIEM заменяет инструмент мониторинга среднего журнала событий. Например, некоторые предполагают, что главная ценность SIEM заключается в более конкретных отчетах и более специфических особенностях, которые больше раскрывают о разработанных результатах в сети. В тех случаях, когда мониторинг и управление журналом событий могут просто предлагать общее представление о том, что генерируется в процессе регистрации, инструменты SIEM могут предлагать большую проприетарную ценность с точки зрения реального вовлечения в сетевую активность и наблюдения за тем, что происходит в сети.