D:
In che modo SIEM si differenzia dalla gestione e dal monitoraggio dei registri eventi generali?
UN:In un certo senso, le informazioni sulla sicurezza e la gestione degli eventi (SIEM) sono diverse dalla normale gestione dei registri eventi media utilizzata dalle aziende per esaminare la vulnerabilità e le prestazioni della rete. Tuttavia, come una sorta di termine generale per una vasta gamma di tecnologie, SIEM si basa in molti modi sul principio fondamentale della gestione e del monitoraggio dei registri eventi. La più grande differenza potrebbe essere le tecniche e le caratteristiche reali coinvolte.
In generale, SIEM è una combinazione di gestione delle informazioni di sicurezza (SIM) e gestione degli eventi di sicurezza (SEM). Ciò significa che i sistemi SIEM incorporano molta acquisizione generale della registrazione di registri digitali, insieme a sistemi più specifici che osservano gli eventi degli utenti nel contesto. Ad esempio, una SEM o una risorsa di gestione degli eventi di sicurezza può essere impostata per acquisire diversi tipi di report specifici sugli accessi agli account che si sono verificati a un determinato livello di accesso, a una determinata ora del giorno o in un determinato modello che gli amministratori di rete possono utilizzare per avvertire il pericolo o affrontare vari tipi di problemi amministrativi. Tuttavia, un sistema di gestione delle informazioni di sicurezza offre report più ampi basati su tutti i dati aggregati raccolti sul traffico di rete.
Alcuni esperti hanno definito le idee su come SIEM sostituisce lo strumento di monitoraggio del registro eventi medio. Ad esempio, alcuni suggeriscono che il valore maggiore di SIEM risieda in report più specifici e in funzionalità più specifiche che rivelano di più sui risultati sviluppati in una rete. Laddove il monitoraggio e la gestione del registro eventi possono offrire una visione generica di ciò che viene generato in un processo di registro, gli strumenti SIEM possono offrire molto valore proprietario, in termini di entrare realmente in attività di rete e vedere cosa succede in una rete.