J:
Kāda ir atšķirība starp SEM, SIM un SIEM?
A:Trīs ļoti līdzīgi, taču atšķirīgi procesu veidi, trīs saīsinājumi SEM, SIM un SIEM mēdz sajaukt vai radīt neskaidrības tiem, kuriem drošības procesi ir samērā nepazīstami.
Jautājuma centrā ir drošības notikumu pārvaldības vai SEM līdzība ar drošības informācijas pārvaldību vai SIM.
Abi šie informācijas vākšanas veidi ir saistīti ar drošības žurnāla informācijas vai citu līdzīgu datu vākšanu ilgstošai glabāšanai vai tīkla drošības vides analīzei.
Galvenā atšķirība ir tā, ka drošības informācijas pārvaldībā tehnoloģija ir vienkārši informācijas vākšana no žurnāla, kas var sastāvēt no dažāda veida datiem. Drošības notikumu pārvaldībā tehnoloģija sīkāk aplūko konkrētus notikumu veidus. Piemēram, eksperti bieži min “superlietotāju notikumu” kā kaut ko tādu, uz kuru būtu jāmeklē drošības notikumu pārvaldības tehnoloģija. Jūs varat iedomāties tehnoloģijas, kas īpaši paredzētas aizdomīgu autentifikāciju, konta pieteikšanās vai augsta līmeņa pārvaldības piekļuves meklēšanai noteiktā dienas vai nakts laikā.
Saīsinājums SIEM vai drošības informācijas notikumu pārvaldība attiecas uz tehnoloģijām ar zināmu drošības informācijas pārvaldības un drošības notikumu pārvaldības kombināciju. Tā kā tie jau ir ļoti līdzīgi, plašāks jumta termins var būt noderīgs, aprakstot mūsdienīgus drošības rīkus un resursus. Vēlreiz galvenais ir atšķirt notikumu uzraudzību no vispārējās informācijas uzraudzības. Vēl viens svarīgs veids, kā atšķirt šos divus, ir apskatīt drošības informācijas pārvaldību kā sava veida ilgtermiņa vai plašāku procesu, kurā daudzveidīgākas datu kopas var analizēt metodiskāk. Drošības notikumu pārvaldībā turpretī atkal tiek apskatīti īpašie lietotāju notikumu veidi, kas var būt sarkani karodziņi vai administratoriem pastāstīt par tīkla darbībām.
