En quoi le SIEM diffère-t-il de la gestion et de la surveillance générales du journal des événements?

Q:

En quoi SIEM diffère-t-il de la gestion et de la surveillance générales du journal des événements?

À certains égards, la gestion des informations de sécurité et des événements (SIEM) est différente de la gestion normale et moyenne du journal des événements que les entreprises utilisent pour examiner la vulnérabilité et les performances du réseau. Cependant, comme une sorte de terme générique pour une gamme de technologies, SIEM est à bien des égards construit sur le principe de base de la gestion et de la surveillance du journal des événements. La plus grande différence peut être les techniques et les fonctionnalités réelles impliquées.

Généralement, SIEM est une combinaison de gestion des informations de sécurité (SIM) et de gestion des événements de sécurité (SEM). Cela signifie que les systèmes SIEM intègrent une grande partie de la capture générale de l'enregistrement de journaux numériques, ainsi que des systèmes plus spécifiques qui examinent les événements des utilisateurs dans leur contexte. Par exemple, une ressource SEM ou de gestion des événements de sécurité peut être configurée pour capturer différents types de rapports spécifiques sur les connexions de compte qui se sont produites à un certain niveau d'accès, à une certaine heure de la journée ou selon un certain modèle que les administrateurs réseau peuvent utiliser. pour détecter un danger ou pour traiter différents types de problèmes administratifs. Cependant, un système de gestion des informations de sécurité propose des rapports plus larges basés sur toutes les données agrégées collectées sur le trafic réseau.

Certains experts ont défini des idées sur la façon dont SIEM remplace l'outil de surveillance du journal des événements moyen. Par exemple, certains suggèrent que la valeur principale de SIEM réside dans des rapports plus spécifiques et des fonctionnalités plus spécifiques qui en révèlent davantage sur les résultats développés dans un réseau. Là où la surveillance et la gestion du journal des événements peuvent simplement offrir une vue générique de ce qui est généré dans un processus de journal, les outils SIEM peuvent offrir beaucoup de valeur propriétaire, en termes de vraiment entrer dans l'activité du réseau et de voir ce qui se passe dans un réseau.