T:
Paano naiiba ang SIEM mula sa pangkalahatang kaganapan sa pamamahala ng pag-log at pagsubaybay?
A:Sa ilang mga paraan, ang impormasyon ng seguridad at pamamahala ng kaganapan (SIEM) ay naiiba kaysa sa normal, average na pamamahala ng log ng kaganapan na ginagamit ng mga negosyo upang tingnan ang kahinaan at pagganap ng network. Gayunpaman, bilang isang uri ng termino ng kumot para sa isang hanay ng mga teknolohiya, ang SIEM ay sa maraming mga paraan na itinayo sa pangunahing prinsipyo ng pamamahala ng log ng kaganapan at pagsubaybay. Ang pinakamalaking pagkakaiba ay maaaring ang aktwal na pamamaraan at mga tampok na kasangkot.
Sa pangkalahatan, ang SIEM ay isang kombinasyon ng pamamahala ng impormasyon sa seguridad (SIM) at pamamahala ng kaganapan sa seguridad (SEM). Ano ang ibig sabihin ay ang mga system ng SIEM ay nagsasama ng maraming pangkalahatang pagkuha ng pag-record ng digital log, kasama ang mas tiyak na mga sistema na tumitingin sa mga kaganapan ng gumagamit sa konteksto. Halimbawa, ang isang mapagkukunan ng pamamahala ng kaganapan sa SEM o seguridad ay maaaring i-set up upang makuha ang iba't ibang uri ng mga tukoy na ulat sa mga logins account na nangyari sa isang tiyak na antas ng pag-access, sa isang tiyak na oras ng araw, o sa isang tiyak na pattern na maaaring magamit ng mga administrador ng network. upang makaramdam ng panganib, o makitungo sa iba't ibang uri ng mga isyung pang-administratibo. Gayunpaman, ang isang sistema ng pamamahala ng impormasyon ng seguridad ay nag-aalok ng mas malawak na mga ulat batay sa lahat ng mga pinagsama-samang data na nakolekta tungkol sa trapiko sa network.
Ang ilang mga eksperto ay tinukoy ang mga ideya kung paano superyor ng SIEM ang average na tool sa pagsubaybay sa log ng kaganapan. Halimbawa, iminumungkahi ng ilan na ang pangunahing halaga ng SIEM ay nasa mas tiyak na mga ulat, at mas tiyak na mga tampok na nagpapakita ng higit pa tungkol sa mga binuo na kinalabasan sa isang network. Kung saan ang pag-monitor at pamamahala ng pag-log ng kaganapan ay maaaring mag-alok lamang ng isang pangkaraniwang pananaw ng kung ano ang makakagawa sa isang proseso ng pag-log, ang mga tool ng SIEM ay maaaring mag-alok ng maraming proprietary na halaga, sa mga tuntunin ng talagang pagpasok sa aktibidad ng network at makita kung ano ang nangyayari sa isang network.
