Q:
Inwiefern unterscheidet sich SIEM von der allgemeinen Verwaltung und Überwachung von Ereignisprotokollen?
EIN:In mancher Hinsicht unterscheidet sich die Verwaltung von Sicherheitsinformationen und Ereignissen (SIEM) von der normalen, durchschnittlichen Ereignisprotokollverwaltung, mit der Unternehmen die Sicherheitsanfälligkeit und Leistung des Netzwerks untersuchen. Als eine Art Sammelbegriff für eine Reihe von Technologien basiert SIEM jedoch in vielerlei Hinsicht auf dem Kernprinzip der Verwaltung und Überwachung von Ereignisprotokollen. Der größte Unterschied kann in den tatsächlichen Techniken und Merkmalen bestehen.
Im Allgemeinen ist SIEM eine Kombination aus Sicherheitsinformationsmanagement (SIM) und Sicherheitsereignismanagement (SEM). Dies bedeutet, dass SIEM-Systeme eine Vielzahl allgemeiner Erfassungen der digitalen Protokollaufzeichnung sowie spezifischere Systeme enthalten, die Benutzerereignisse im Kontext betrachten. Beispielsweise kann eine SEM- oder Sicherheitsereignisverwaltungsressource so eingerichtet werden, dass unterschiedliche Arten von spezifischen Berichten zu Kontoanmeldungen erfasst werden, die auf einer bestimmten Zugriffsebene, zu einer bestimmten Tageszeit oder in einem bestimmten Muster, das Netzwerkadministratoren verwenden können, aufgetreten sind um Gefahren zu erkennen oder sich mit verschiedenen Arten von administrativen Problemen zu befassen. Ein Sicherheitsinformations-Managementsystem bietet jedoch umfassendere Berichte, die auf allen gesammelten Daten zum Netzwerkverkehr basieren.
Einige Experten haben Ideen definiert, wie SIEM das durchschnittliche Tool zur Überwachung von Ereignisprotokollen ersetzt. Einige schlagen zum Beispiel vor, dass der Hauptwert von SIEM in spezifischeren Berichten und spezifischeren Funktionen liegt, die mehr über entwickelte Ergebnisse in einem Netzwerk verraten. Während die Überwachung und Verwaltung von Ereignisprotokollen möglicherweise nur eine allgemeine Ansicht darüber bietet, was in einem Protokollprozess generiert wird, bieten SIEM-Tools eine Menge proprietärer Vorteile, wenn es darum geht, wirklich in die Netzwerkaktivität einzusteigen und zu sehen, was in einem Netzwerk vor sich geht.