J:
Kā SIEM atšķiras no vispārējās notikumu žurnāla pārvaldības un uzraudzības?
A:Dažos veidos drošības informācija un notikumu pārvaldība (SIEM) atšķiras no parastās, vidējās notikumu žurnāla pārvaldības, kuru uzņēmumi izmanto tīkla ievainojamības un veiktspējas pārbaudei. Tomēr kā sava veida visaptverošs termins daudzām tehnoloģijām, SIEM daudzējādā ziņā ir veidots uz notikumu žurnāla pārvaldības un uzraudzības pamatprincipu. Lielākā atšķirība var būt faktiskās iesaistītās metodes un funkcijas.
Parasti SIEM ir drošības informācijas pārvaldības (SIM) un drošības notikumu pārvaldības (SEM) kombinācija. Tas nozīmē, ka SIEM sistēmās ir iekļauta daudz vispārīga digitālā žurnāla ierakstīšanas tveršanas, kā arī specifiskākas sistēmas, kas lietotāja notikumus aplūko kontekstā. Piemēram, SEM vai drošības notikumu pārvaldības resurss var būt izveidots, lai uztvertu dažāda veida specifiskus pārskatus par konta pieteikumiem, kas notikuši noteiktā piekļuves līmenī, noteiktā dienas laikā vai noteiktā modelī, ko tīkla administratori var izmantot sajust briesmas vai risināt dažāda veida administratīvos jautājumus. Tomēr drošības informācijas pārvaldības sistēma piedāvā plašākus pārskatus, kuru pamatā ir visi apkopotie dati par tīkla trafiku.
Daži eksperti ir definējuši idejas, kā SIEM aizstāj vidējo notikumu žurnāla uzraudzības rīku. Piemēram, daži norāda, ka SIEM galvenā vērtība ir specifiskākos pārskatos un specifiskākās pazīmēs, kas vairāk atklāj tīkla izstrādātos rezultātus. Ja notikumu žurnāla uzraudzība un vadība var piedāvāt tikai vispārīgu skatu par to, kas tiek ģenerēts žurnāla veidošanas procesā, SIEM rīki var piedāvāt daudz patentētu vērtību attiecībā uz patiesu iesaistīšanos tīkla darbībā un redzēšanu, kas notiek tīklā.
