Q:
Bagaimanakah SIEM berbeza daripada pengurusan log peristiwa dan pemantauan umum?
A:Dalam beberapa cara, maklumat keselamatan dan pengurusan acara (SIEM) berbeza daripada biasa, pengurusan log peristiwa biasa yang digunakan oleh perniagaan untuk melihat kerentanan dan prestasi rangkaian. Walau bagaimanapun, sebagai sejenis termetrik untuk pelbagai teknologi, SIEM dalam banyak cara dibina berdasarkan prinsip utama pengurusan log peristiwa dan pemantauan. Perbezaan terbesar mungkin adalah teknik dan ciri sebenar yang terlibat.
Umumnya, SIEM adalah gabungan pengurusan maklumat keselamatan (SIM) dan pengurusan acara keselamatan (SEM). Maksudnya ialah sistem SIEM menggabungkan banyak rakaman log digital secara umum, bersama-sama dengan sistem yang lebih spesifik yang melihat peristiwa pengguna dalam konteks. Contohnya, SEM atau sumber pengurusan peristiwa keselamatan boleh ditubuhkan untuk menangkap pelbagai jenis laporan tertentu pada log masuk akaun yang berlaku pada tahap akses tertentu, pada suatu masa tertentu, atau dalam corak tertentu yang boleh digunakan oleh pentadbir rangkaian untuk merasakan bahaya, atau berurusan dengan pelbagai jenis isu pentadbiran. Walau bagaimanapun, sistem pengurusan maklumat keselamatan menawarkan laporan yang lebih luas berdasarkan semua data agregat yang dikumpulkan mengenai lalu lintas rangkaian.
Sesetengah pakar telah menyatakan idea tentang bagaimana SIEM menggantikan alat pengawasan log peristiwa purata. Sebagai contoh, ada yang menyatakan bahawa nilai utama SIEM adalah dalam laporan yang lebih khusus, dan ciri-ciri yang lebih khusus yang mendedahkan lebih banyak mengenai hasil yang dibangunkan dalam rangkaian. Di mana pemantauan dan pengurusan log acara hanya boleh menawarkan pandangan generik mengenai apa yang dijana dalam proses log, alat SIEM boleh menawarkan banyak nilai proprietari, dari segi benar-benar masuk ke dalam aktiviti rangkaian dan melihat apa yang berlaku dalam rangkaian.
