Inhoud
Q:
Waarin verschilt SIEM van algemeen beheer en bewaking van gebeurtenislogboeken?
EEN:
In sommige opzichten is beveiligingsinformatie en gebeurtenisbeheer (SIEM) anders dan het normale, gemiddelde gebeurtenislogboekbeheer dat bedrijven gebruiken om te kijken naar netwerkkwetsbaarheid en prestaties. Als een soort algemene term voor een reeks technologieën is SIEM echter in veel opzichten gebouwd op het kernprincipe van beheer en bewaking van gebeurtenislogboeken. Het grootste verschil kan de werkelijke technieken en functies zijn.
Over het algemeen is SIEM een combinatie van Security Information Management (SIM) en Security Event Management (SEM). Wat dat betekent is dat SIEM-systemen veel algemene opname van digitale logboekregistratie bevatten, samen met meer specifieke systemen die kijken naar gebruikersgebeurtenissen in con. Een SEM- of beveiligingsgebeurtenisbeheerbron kan bijvoorbeeld worden ingesteld om verschillende soorten specifieke rapporten over accountaanmeldingen vast te leggen die plaatsvonden op een bepaald toegangsniveau, op een bepaald tijdstip van de dag of in een bepaald patroon dat netwerkbeheerders kunnen gebruiken om gevaar te voelen, of om te gaan met verschillende soorten administratieve kwesties. Een beveiligingsinformatiebeheersysteem biedt echter bredere rapporten op basis van alle verzamelde gegevens die worden verzameld over netwerkverkeer.
Sommige experts hebben ideeën gedefinieerd over hoe SIEM het gemiddelde bewakingsprogramma voor gebeurtenislogboeken vervangt. Sommigen suggereren bijvoorbeeld dat de belangrijkste waarde van SIEM ligt in meer specifieke rapporten en meer specifieke functies die meer onthullen over ontwikkelde resultaten in een netwerk. Waar bewaking en beheer van gebeurtenislogboeken misschien een generiek beeld biedt van wat er in een logproces wordt gegenereerd, kunnen SIEM-tools veel bedrijfseigen waarde bieden, in termen van echt toegang krijgen tot netwerkactiviteit en zien wat er in een netwerk gebeurt.