K:
Miten SIEM eroaa yleisestä tapahtumalokin hallinnasta ja seurannasta?
V:Joillakin tavoin turvatiedot ja tapahtumien hallinta (SIEM) eroavat tavallisesta keskimääräisestä tapahtumalokin hallinnasta, jota yritykset käyttävät verkon haavoittuvuuden ja suorituskyvyn tarkastelemiseen. SIEM on kuitenkin eräänlainen yleinen termi monille tekniikoille, ja se perustuu monella tapaa tapahtumalokin hallinnan ja seurannan pääperiaatteeseen. Suurin ero voi olla todelliset tekniikat ja ominaisuudet.
Yleensä SIEM on yhdistelmä turvallisuustietojen hallintaa (SIM) ja tietoturvatapahtumien hallintaa (SEM). Se tarkoittaa, että SIEM-järjestelmiin sisältyy paljon digitaalisen lokitallenteen kaappaamista, samoin kuin tarkempia järjestelmiä, jotka tarkastelevat käyttäjän tapahtumia yhteydessä. Esimerkiksi SEM- tai tietoturvatapahtumien hallintaresurssi voidaan perustaa sieppaamaan erityyppisiä erityisraportteja tilien kirjautumistavoista, jotka tapahtuivat tietyllä käyttöoikeustasolla, tietyllä kellonaikana tai tietyllä kuviolla, jota verkonvalvojat voivat käyttää tunnistaa vaara tai käsitellä erityyppisiä hallinnollisia kysymyksiä. Suojaustietojen hallintajärjestelmä tarjoaa kuitenkin laajempia raportteja kaiken verkkotietojen keräämän aggregaattitiedon perusteella.
Jotkut asiantuntijat ovat määritelleet ideat siitä, kuinka SIEM korvaa keskimääräisen tapahtumalokin seurantatyökalun. Esimerkiksi jotkut viittaavat siihen, että SIEM: n suurin arvo on erityisissä raporteissa ja erityisemmissä ominaisuuksissa, jotka paljastavat enemmän verkossa kehittyneistä tuloksista. Jos tapahtumalokin seuranta ja hallinta voivat tarjota vain yleiskuvan lokiprosessissa syntyvistä seikoista, SIEM-työkalut voivat tarjota paljon omistusoikeudellista arvoa, kun kyseessä on todella verkkoon liittyminen ja verkossa tapahtuvan toiminnan näkeminen.
