P:
Po čemu se SIEM razlikuje od upravljanja i nadgledanja općih zapisa događaja?
A:Na neki se način sigurnosne informacije i upravljanje događajima (SIEM) razlikuju od uobičajenog, prosječnog upravljanja zapisima događaja koji tvrtke koriste kako bi ispitali ranjivost mreže i performanse. Međutim, kao svojevrsni pokriveni pojam za niz tehnologija, SIEM je na mnogo načina izgrađen na temeljnom principu upravljanja i nadgledanja zapisa događaja. Najveća razlika mogu biti stvarne tehnike i značajke koje su uključene.
Općenito, SIEM je kombinacija upravljanja sigurnosnim informacijama (SIM) i upravljanja sigurnosnim događajima (SEM). To znači da SIEM sustavi uključuju puno općenitog snimanja digitalnim zapisima, zajedno sa specifičnijim sustavima koji korisničke događaje promatraju u kontekstu. Na primjer, SEM ili resurs za upravljanje sigurnosnim događajima može se postaviti za snimanje različitih vrsta specifičnih izvještaja o prijavama računa koji su se dogodili na određenoj razini pristupa, u određeno doba dana ili u određenom obrascu koji mrežni administratori mogu koristiti osjetiti opasnost ili se baviti raznim vrstama administrativnih pitanja. Međutim, sigurnosni sustav upravljanja informacijama nudi širi izvještaji na temelju svih skupnih podataka koji su prikupljeni o mrežnom prometu.
Neki stručnjaci definirali su ideje kako SIEM nadmašuje prosječni alat za nadzor dnevnika događaja. Na primjer, neki sugeriraju da je glavna vrijednost SIEM-a u specifičnijim izvješćima i specifičnijim značajkama koje otkrivaju više o razvijenim ishodima u mreži. Ako nadzor i upravljanje dnevnikom događaja mogu samo ponuditi generički prikaz onoga što se generira u procesu zapisnika, alati SIEM mogu ponuditi puno vlasničke vrijednosti, u smislu stvarno uključenja u mrežne aktivnosti i gledanja onoga što se događa u mreži.
