Q:
SIEM khác với quản lý và giám sát nhật ký sự kiện chung như thế nào?
A:Theo một số cách, thông tin bảo mật và quản lý sự kiện (SIEM) khác với quản lý nhật ký sự kiện trung bình, bình thường mà các doanh nghiệp sử dụng để xem xét lỗ hổng và hiệu suất của mạng. Tuy nhiên, là một loại thuật ngữ chung cho một loạt các công nghệ, SIEM theo nhiều cách được xây dựng trên nguyên tắc cốt lõi là quản lý và giám sát nhật ký sự kiện. Sự khác biệt lớn nhất có thể là các kỹ thuật và tính năng thực tế liên quan.
Nói chung, SIEM là sự kết hợp giữa quản lý thông tin bảo mật (SIM) và quản lý sự kiện bảo mật (SEM). Điều đó có nghĩa là các hệ thống SIEM kết hợp rất nhiều ghi lại chung về ghi nhật ký kỹ thuật số, cùng với các hệ thống cụ thể hơn xem xét các sự kiện của người dùng trong ngữ cảnh. Ví dụ: tài nguyên quản lý sự kiện bảo mật hoặc SEM có thể được thiết lập để ghi lại các loại báo cáo cụ thể khác nhau về thông tin đăng nhập tài khoản xảy ra ở một cấp độ truy cập nhất định, vào một thời điểm nhất định trong ngày hoặc theo một mẫu nhất định mà quản trị viên mạng có thể sử dụng để cảm nhận nguy hiểm, hoặc đối phó với các loại vấn đề hành chính. Tuy nhiên, một hệ thống quản lý thông tin bảo mật cung cấp các báo cáo rộng hơn dựa trên tất cả dữ liệu tổng hợp được thu thập về lưu lượng mạng.
Một số chuyên gia đã xác định các ý tưởng về cách SIEM thay thế công cụ giám sát nhật ký sự kiện trung bình. Ví dụ, một số gợi ý rằng giá trị chính của SIEM nằm trong các báo cáo cụ thể hơn và các tính năng cụ thể hơn tiết lộ nhiều hơn về kết quả được phát triển trong mạng. Trong trường hợp giám sát và quản lý nhật ký sự kiện có thể cung cấp một cái nhìn chung về những gì được tạo ra trong quy trình nhật ký, các công cụ SIEM có thể cung cấp rất nhiều giá trị độc quyền, về mặt thực sự tham gia vào hoạt động mạng và xem những gì diễn ra trong mạng.
