Q:
Чим SIEM відрізняється від загального управління та моніторингу журналів подій?
A:Деяким чином інформація про безпеку та управління подіями (SIEM) відрізняється від звичайного, середнього управління журналом подій, який використовують для перевірки вразливості та ефективності мережі. Однак, як своєрідний загальний термін для ряду технологій, SIEM багато в чому побудований на основному принципі управління та моніторингу журналів подій. Найбільша різниця може полягати у власних техніках та особливостях.
Як правило, SIEM - це поєднання управління інформацією про безпеку (SIM) та управління подіями безпеки (SEM). Це означає, що системи SIEM містять багато загальних даних щодо запису цифрового журналу, а також більш конкретні системи, що розглядають події користувачів у контексті. Наприклад, ресурс управління SEM або безпекою подій може бути створений для зйомки різних видів конкретних звітів про входи в обліковий запис, які відбувалися в певний рівень доступу, в певний час доби або за певною схемою, яку можуть використовувати мережеві адміністратори. відчувати небезпеку або вирішувати різні типи адміністративних питань. Однак система управління інформацією про безпеку пропонує більш широкі звіти на основі всіх сукупних даних, які збираються про мережевий трафік.
Деякі експерти визначили ідеї того, як SIEM замінює середній інструмент моніторингу журналу подій. Наприклад, деякі припускають, що основна цінність SIEM полягає у більш конкретних звітах та більш конкретних ознаках, які розкривають більше про розроблені результати в мережі. Якщо моніторинг та управління журналом подій може просто запропонувати загальний вигляд того, що отримується в процесі журналу, інструменти SIEM можуть запропонувати велику власну цінність з точки зору дійсного входження в мережеву діяльність та перегляду того, що відбувається в мережі.
