Innehåll
F:
Hur skiljer sig SIEM från generell hantering och övervakning av händelselogg?
A:
På vissa sätt skiljer sig säkerhetsinformation och händelsehantering (SIEM) än den vanliga, genomsnittliga händelselogshanteringen som företag använder för att titta på nätverkssårbarhet och prestanda. Som ett slags filttermer för en rad tekniker bygger SIEM emellertid på många sätt på grundprincipen för hantering och övervakning av händelseloggar. Den största skillnaden kan vara de faktiska tekniker och funktioner som är inblandade.
I allmänhet är SIEM en kombination av säkerhetsinformationshantering (SIM) och säkerhetshändelseshantering (SEM). Vad det betyder är att SIEM-system innehåller en hel del generell inspelning av digital logginspelning, tillsammans med mer specifika system som tittar på användarhändelser i con. Till exempel kan en SEM- eller säkerhetshändelseshanteringsresurs skapas för att fånga olika typer av specifika rapporter på kontoinloggningar som hände på en viss åtkomstnivå, vid en viss tid på dagen, eller i ett visst mönster som nätverksadministratörer kan använda att känna faror eller ta itu med olika typer av administrativa frågor. Ett säkerhetsinformationshanteringssystem erbjuder emellertid bredare rapporter baserat på all samlad data som samlas in om nätverkstrafik.
Vissa experter har definierat idéer om hur SIEM ersätter det genomsnittliga övervakningsverktyget för händelselogg. Till exempel föreslår vissa att huvudvärdet av SIEM ligger i mer specifika rapporter och mer specifika funktioner som avslöjar mer om utvecklade resultat i ett nätverk. Där övervakning och hantering av händelselogg bara kan erbjuda en generisk bild av vad som genereras i en loggprocess, kan SIEM-verktyg erbjuda mycket eget värde, när det gäller att verkligen komma in i nätverksaktivitet och se vad som händer i ett nätverk.