Q:
В чем разница между SEM, SIM и SIEM?
A:Будучи тремя очень похожими, но отличающимися друг от друга типами процессов, эти три аббревиатуры SEM, SIM и SIEM имеют тенденцию путаться или вызывать путаницу у тех, кто относительно не знаком с процессами безопасности.
В основе проблемы лежит сходство между управлением событиями безопасности или SEM и управлением информацией безопасности или SIM-картой.
Оба эти типа сбора информации имеют отношение к сбору информации журнала безопасности или других аналогичных данных для долговременного хранения или для анализа среды безопасности сети.
Основное отличие состоит в том, что при управлении информацией о безопасности технология просто собирает информацию из журнала, который может состоять из различных типов данных. В управлении событиями безопасности технология более внимательно изучает конкретные типы событий. Например, эксперты часто ссылаются на «событие суперпользователя» как на то, что технология управления событиями безопасности будет искать. Вы можете представить себе технологии, специально разработанные для поиска подозрительных аутентификаций, входов в учетную запись или высокоуровневого доступа к управлению в определенное время дня или ночи.
Аббревиатура SIEM или управление информационными событиями безопасности относится к технологиям с некоторой комбинацией управления информацией безопасности и управления событиями безопасности. Поскольку они уже очень похожи, более широкий общий термин может быть полезен при описании современных инструментов и ресурсов безопасности. Опять же, ключ состоит в том, чтобы отличить мониторинг событий от общего мониторинга информации. Другой ключевой способ различить эти два аспекта состоит в том, чтобы рассматривать управление информацией о безопасности как своего рода долгосрочный или более широкий процесс, где более разнообразные наборы данных могут анализироваться более методичными способами. Управление событиями безопасности, напротив, снова рассматривает конкретные типы пользовательских событий, которые могут представлять собой красные флажки или сообщать администраторам конкретные сведения о сетевой активности.
