Innehåll
F:
Vad är skillnaden mellan SEM, SIM och SIEM?
A:
Som tre mycket lika men ändå distinkta typer av processer tenderar de tre akronymerna SEM, SIM och SIEM att bli förvirrade eller orsaka förvirring för dem som är relativt okända med säkerhetsprocesser.
Kärnan i frågan är likheten mellan hantering av säkerhetshändelser eller SEM, och säkerhetsinformationshantering eller SIM.
Båda dessa typer av informationssamling har att göra med att samla in säkerhetslogginformation eller annan liknande data för långsiktig lagring, eller för att analysera säkerhetsmiljön i ett nätverk.
Den viktigaste skillnaden är att tekniken i säkerhetsinformation hanterar helt enkelt information från en logg, som kan bestå av olika typer av data. Vid hantering av säkerhetshändelser tittar tekniken närmare på specifika typer av händelser. Exempelvis citerar experter ofta en "superanvändarhändelse" som något som tekniken för säkerhetshändelseshantering skulle leta efter. Du kan tänka dig tekniker som är specifikt utformade för att leta efter misstänkta autentiseringar, kontoinloggningar eller åtkomst till hög nivå på specifika tidpunkter på dagen eller natten.
Förkortningen SIEM eller händelsehantering för säkerhetsinformation hänvisar till teknologier med någon kombination av säkerhetsinformation och hantering av säkerhetshändelser. Eftersom dessa redan är mycket lika, kan det bredare paraplybegreppet vara användbart för att beskriva moderna säkerhetsverktyg och resurser. Återigen är nyckeln att skilja händelseövervakningen från den allmänna informationsövervakningen.Ett annat viktigt sätt att skilja dessa två är att se på hanteringen av säkerhetsinformation som en slags långsiktig eller bredare process, där mer olika datauppsättningar kan analyseras på mer metodiska sätt. Hantering av säkerhetshändelser tittar däremot igen på de specifika typerna av användarhändelser som kan utgöra röda flaggor eller berätta för administratörer specifika saker om nätverksaktivitet.