Q:
Яка різниця між SEM, SIM та SIEM?
A:Оскільки три дуже схожі, але чіткі типи процесів, три абревіатури SEM, SIM та SIEM, як правило, плутаються або викликають плутанину у тих, хто відносно незнайомий із процесами безпеки.
В основі проблеми - схожість між керуванням подіями безпеки або SEM та управлінням інформацією про безпеку або SIM.
Обидва ці типи збору інформації мають відношення до збору інформації журналу безпеки або інших подібних даних для довготривалого зберігання або для аналізу середовища безпеки мережі.
Ключова відмінність полягає в тому, що в управлінні інформацією про безпеку технологія просто збирає інформацію з журналу, яка може складатися з різних різних типів даних. В управлінні подіями в безпеці технологія уважніше розглядає конкретні типи подій. Наприклад, експерти часто цитують "події суперпользователя" як щось, на що б доглядали технології управління подіями безпеки. Ви можете уявити технології, спеціально розроблені для пошуку підозрілих аутентифікацій, логотипів облікових записів або доступу до управління на високому рівні в конкретний час дня або ночі.
Скорочення SIEM або управління інформаційними подіями безпеки позначає технології з деяким поєднанням управління інформацією про безпеку та управління подіями безпеки. Оскільки вони вже дуже схожі, ширший термін парасольки може бути корисним для опису сучасних інструментів та ресурсів безпеки. Знову ж таки, головним є розмежування моніторингу подій від загального моніторингу інформації. Ще один ключовий спосіб розрізнити ці два - розглядати управління інформацією про безпеку як певний тривалий або більш широкий процес, де більш різноманітні набори даних можуть аналізуватися більш методичними способами. Навпаки, управління подіями безпеки знову розглядає конкретні типи подій користувача, які можуть складати червоні прапори або повідомляти адміністраторам конкретні речі про мережеву діяльність.