Q:
Hva er forskjellen mellom SEM, SIM og SIEM?
EN:Som tre veldig like, men likevel tydelige typer prosesser, har de tre forkortelsene SEM, SIM og SIEM en tendens til å bli forvirrede, eller forårsake forvirring for de som er relativt ukjente med sikkerhetsprosesser.
I kjernen av problemet er likheten mellom ledelse av sikkerhetshendelser eller SEM, og sikkerhetsinformasjonsadministrasjon eller SIM.
Begge disse typene informasjonsinnsamling har å gjøre med å samle inn sikkerhetslogginformasjon eller andre lignende data for langsiktig lagring, eller for å analysere sikkerhetsmiljøet i et nettverk.
Den viktigste forskjellen er at teknologien innen sikkerhetsinformasjon er ganske enkelt å samle inn informasjon fra en logg, som kan bestå av forskjellige typer data. I ledelse av sikkerhetshendelser ser teknologien nærmere på bestemte typer hendelser. Eksempelvis siterer eksperter ofte en "superbrukerhendelse" som noe sikkerhetshåndteringsteknologien vil være ute etter. Du kan tenke deg teknologier som er spesielt utviklet for å se etter mistenkelige autentiseringer, kontonogger eller administrasjonsadgang på høyt nivå til bestemte tider på dagen eller natten.
Forkortelsen SIEM eller sikkerhetsinformasjon hendelseshåndtering refererer til teknologier med en eller annen kombinasjon av sikkerhetsinformasjonsadministrasjon og sikkerhetshendelse. Siden disse allerede er veldig like, kan det bredere paraplybegrep være nyttig i beskrivelsen av moderne sikkerhetsverktøy og ressurser. Igjen er nøkkelen å differensiere hendelsesovervåking fra generell informasjonsovervåkning. En annen sentral måte å skille disse to på er å se på sikkerhetsinformasjonsadministrasjon som en slags langsiktig eller bredere prosess, der flere forskjellige datasett kan analyseres på mer metodiske måter. Ledelse av sikkerhetshendelser ser derimot igjen på de spesifikke typene brukerhendelser som kan utgjøre røde flagg eller fortelle administratorer spesifikke ting om nettverksaktivitet.
