Q:
Quelle est la différence entre SEM, SIM et SIEM?
UNE:En tant que trois types de processus très similaires mais distincts, les trois acronymes SEM, SIM et SIEM ont tendance à se confondre, ou à semer la confusion chez ceux qui ne sont pas familiers avec les processus de sécurité.
Au cœur du problème se trouve la similitude entre la gestion des événements de sécurité ou SEM, et la gestion des informations de sécurité ou SIM.
Ces deux types de collecte d'informations concernent la collecte d'informations de journaux de sécurité ou d'autres données similaires pour un stockage à long terme, ou pour analyser l'environnement de sécurité d'un réseau.
La principale différence est que dans la gestion des informations de sécurité, la technologie collecte simplement des informations à partir d'un journal, qui peut être composé de différents types de données. Dans la gestion des événements de sécurité, la technologie examine de plus près des types spécifiques d'événements. Par exemple, les experts citent souvent un «événement de superutilisateur» comme quelque chose que la technologie de gestion des événements de sécurité rechercherait. Vous pouvez imaginer des technologies spécialement conçues pour rechercher des authentifications suspectes, des ouvertures de session de compte ou un accès de gestion de haut niveau à des moments précis de la journée ou de la nuit.
L'acronyme SIEM ou gestion des événements d'informations de sécurité fait référence à des technologies avec une combinaison de gestion des informations de sécurité et de gestion des événements de sécurité. Comme ils sont déjà très similaires, le terme générique plus large peut être utile pour décrire les outils et les ressources de sécurité modernes. Encore une fois, la clé est de différencier la surveillance des événements de la surveillance des informations générales. Une autre manière clé de distinguer ces deux est de considérer la gestion des informations de sécurité comme une sorte de processus à long terme ou plus large, où des ensembles de données plus divers peuvent être analysés de manière plus méthodique. La gestion des événements de sécurité, en revanche, examine à nouveau les types spécifiques d'événements utilisateur qui peuvent constituer des signaux d'alarme ou indiquer aux administrateurs des choses spécifiques sur l'activité du réseau.