Q:
Sự khác biệt giữa SEM, SIM và SIEM là gì?
A:Là ba loại quy trình rất giống nhau nhưng khác biệt, ba từ viết tắt SEM, SIM và SIEM có xu hướng bị lẫn lộn hoặc gây nhầm lẫn cho những người tương đối xa lạ với các quy trình bảo mật.
Cốt lõi của vấn đề là sự tương đồng giữa quản lý sự kiện bảo mật hoặc SEM và quản lý thông tin bảo mật hoặc SIM.
Cả hai loại thu thập thông tin này đều phải thực hiện với việc thu thập thông tin nhật ký bảo mật hoặc dữ liệu tương tự khác để lưu trữ lâu dài hoặc để phân tích môi trường bảo mật của mạng.
Sự khác biệt chính là trong quản lý thông tin bảo mật, công nghệ chỉ đơn giản là thu thập thông tin từ nhật ký, có thể bao gồm nhiều loại dữ liệu khác nhau. Trong quản lý sự kiện bảo mật, công nghệ đang xem xét kỹ hơn các loại sự kiện cụ thể. Chẳng hạn, các chuyên gia thường trích dẫn một "sự kiện siêu người dùng" là điều mà công nghệ quản lý sự kiện bảo mật sẽ tìm kiếm. Bạn có thể tưởng tượng các công nghệ được thiết kế đặc biệt để tìm kiếm các xác thực đáng ngờ, đăng nhập tài khoản hoặc truy cập quản lý cấp cao vào các thời điểm cụ thể trong ngày hoặc đêm.
Từ viết tắt SIEM hoặc quản lý sự kiện thông tin bảo mật đề cập đến các công nghệ với sự kết hợp giữa quản lý thông tin bảo mật và quản lý sự kiện bảo mật. Vì chúng đã rất giống nhau, nên thuật ngữ ô rộng hơn có thể hữu ích trong việc mô tả các công cụ và tài nguyên bảo mật hiện đại. Một lần nữa, chìa khóa là để phân biệt giám sát sự kiện với giám sát thông tin chung. Một cách quan trọng khác để phân biệt hai điều này là xem quản lý thông tin bảo mật như một loại quy trình dài hạn hoặc rộng hơn, trong đó các bộ dữ liệu đa dạng hơn có thể được phân tích theo những cách có phương pháp hơn. Ngược lại, quản lý sự kiện bảo mật lại xem xét các loại sự kiện người dùng cụ thể có thể tạo thành cờ đỏ hoặc báo cho quản trị viên những điều cụ thể về hoạt động mạng.