Q:
Hvordan er SIEM forskjellig fra generell styring og overvåking av hendelseslogger?
EN:På noen måter er sikkerhetsinformasjon og hendelsesstyring (SIEM) annerledes enn den normale, gjennomsnittlige hendelsesloggadministrasjonen som virksomheter bruker for å se på nettverkets sårbarhet og ytelse. Som en slags teppebetegnelse for en rekke teknologier er SIEM imidlertid på mange måter bygget på kjerneprinsippet om styring og overvåking av hendelseslogger. Den største forskjellen kan være de faktiske teknikkene og funksjonene som er involvert.
Generelt er SIEM en kombinasjon av sikkerhetsinformasjonsadministrasjon (SIM) og sikkerhetshændelsesadministrasjon (SEM). Det det betyr er at SIEM-systemer inneholder mye generell innspilling av digital loggopptak, sammen med mer spesifikke systemer som ser på brukerhendelser i sammenheng. For eksempel kan en SEM- eller sikkerhetshåndteringsressurs være satt opp for å fange opp forskjellige typer spesifikke rapporter på kontoinnlogginger som skjedde på et bestemt tilgangsnivå, på et bestemt tidspunkt på dagen, eller i et bestemt mønster som nettverksadministratorer kan bruke å føle fare, eller håndtere ulike typer administrative spørsmål. Imidlertid tilbyr et sikkerhetsinformasjonsstyringssystem bredere rapporter basert på alle de samlede dataene som er samlet om nettverkstrafikk.
Noen eksperter har definert ideer om hvordan SIEM erstatter det gjennomsnittlige overvåkningsverktøyet for hendelseslogg. Noen antyder for eksempel at hovedverdien av SIEM er i mer spesifikke rapporter, og mer spesifikke funksjoner som avslører mer om utviklede resultater i et nettverk. Der overvåkning og styring av hendelseslogger bare kan tilby en generell oversikt over hva som blir generert i en loggprosess, kan SIEM-verktøy tilby mye egenverdi, i form av å virkelig komme inn i nettverksaktivitet og se hva som skjer i et nettverk.
