ש:
במה שונה SIEM מניהול ופיקוח כללי ביומן אירועים?
ת:במובנים מסוימים, מידע אבטחה וניהול אירועים (SIEM) שונה מניהול יומן האירועים הרגיל והממוצע בו משתמשים עסקים כדי לבדוק את הפגיעות והביצועים ברשת. עם זאת, כסוג של מונח שמיכה למגוון טכנולוגיות, SIEM בנוי במובנים רבים על עיקרון הליבה של ניהול ופיקוח ביומן אירועים. ההבדל הגדול ביותר יכול להיות הטכניקות והתכונות בפועל המעורבות.
באופן כללי, SIEM הוא שילוב של ניהול מידע אבטחה (SIM) וניהול אירועי אבטחה (SEM). המשמעות היא שמערכות SIEM משלבות הרבה לכידת כלליות של הקלטת יומן דיגיטלי, יחד עם מערכות ספציפיות יותר הבוחנות אירועי משתמשים בהקשר. לדוגמה, ניתן להגדיר משאב SEM או ניהול אירועי אבטחה בכדי ללכוד סוגים שונים של דוחות ספציפיים על כניסות חשבון שהתרחשו ברמת גישה מסוימת, בשעה מסוימת ביום, או בתבנית מסוימת שמנהלי רשת יכולים להשתמש בהם. לחוש סכנה, או להתמודד עם סוגים שונים של מנהלים. עם זאת, מערכת לניהול מידע על אבטחה מציעה דוחות רחבים יותר המבוססים על כל הנתונים המצטברים שנאספים על תנועת רשת.
כמה מומחים הגדירו רעיונות כיצד SIEM מחליף את הכלי הממוצע לניטור יומן אירועים. לדוגמה, יש המראים כי הערך העיקרי של SIEM הוא בדוחות ספציפיים יותר, ותכונות ספציפיות יותר החושפות יותר על תוצאות מפותחות ברשת. כאשר ניטור וניהול יומני אירועים עשויים רק להציע תצוגה כללית של מה שנוצר בתהליך יומן, כלי SIEM יכולים להציע ערך רב קנייני, מבחינת באמת להיכנס לפעילות רשת ולראות מה קורה ברשת.
