Q:
كيف يختلف SIEM عن إدارة سجل الأحداث العامة ومراقبته؟
أ:في بعض النواحي ، تختلف معلومات الأمان وإدارة الأحداث (SIEM) عن إدارة سجل الأحداث العادية والمتوسطة التي تستخدمها الشركات للنظر في ثغرة الشبكة وأداءها. ومع ذلك ، كنوع من المصطلح الشامل لمجموعة من التقنيات ، يعتمد SIEM من نواح كثيرة على المبدأ الأساسي لإدارة سجل الأحداث ومراقبته. قد يكون الفرق الأكبر هو التقنيات والميزات الفعلية المعنية.
بشكل عام ، يمثل SIEM مزيجًا من إدارة معلومات الأمان (SIM) وإدارة الأحداث الأمنية (SEM). ما يعنيه ذلك هو أن أنظمة SIEM تتضمن الكثير من الالتقاط العام لتسجيل السجل الرقمي ، إلى جانب أنظمة أكثر تحديداً تنظر إلى أحداث المستخدم في السياق. على سبيل المثال ، قد يتم إعداد مورد إدارة الأحداث أو إدارة الأحداث الأمنية لالتقاط أنواع مختلفة من التقارير المحددة حول عمليات تسجيل الدخول إلى الحساب التي حدثت على مستوى وصول معين ، في وقت معين من اليوم ، أو في نمط معين يمكن لمسؤولي الشبكة استخدامه الشعور بالخطر ، أو التعامل مع أنواع مختلفة من القضايا الإدارية. ومع ذلك ، يوفر نظام إدارة معلومات الأمان تقارير أوسع استنادًا إلى جميع البيانات الإجمالية التي يتم جمعها حول حركة مرور الشبكة.
قام بعض الخبراء بتعريف أفكار حول كيفية استبدال SIEM بأداة مراقبة سجل الأحداث المتوسطة. على سبيل المثال ، يشير البعض إلى أن القيمة الرئيسية لـ SIEM هي في تقارير أكثر تحديدًا ، وميزات أكثر تحديدًا تكشف المزيد عن النتائج المطورة في الشبكة. حيث قد تقدم مراقبة سجل الأحداث وإدارته عرضًا عامًا لما يتم إنشاؤه في عملية السجل ، يمكن لأدوات SIEM أن تقدم الكثير من قيمة الملكية ، من حيث الانخراط فعليًا في نشاط الشبكة ورؤية ما يحدث في الشبكة.
