Q:
SIEM แตกต่างจากการจัดการและตรวจสอบบันทึกเหตุการณ์ทั่วไปอย่างไร
A:ในบางวิธีข้อมูลความปลอดภัยและการจัดการเหตุการณ์ (SIEM) นั้นแตกต่างจากการจัดการบันทึกเหตุการณ์ทั่วไปโดยเฉลี่ยที่ธุรกิจใช้เพื่อดูช่องโหว่ของเครือข่ายและประสิทธิภาพ อย่างไรก็ตามในฐานะที่เป็นคำศัพท์ครอบคลุมสำหรับเทคโนโลยีที่หลากหลาย SIEM อยู่ในหลาย ๆ วิธีที่สร้างขึ้นบนหลักการหลักของการจัดการบันทึกเหตุการณ์และการตรวจสอบ ความแตกต่างที่ใหญ่ที่สุดอาจเป็นเทคนิคและคุณสมบัติที่เกี่ยวข้องจริง
โดยทั่วไป SIEM เป็นการรวมกันของการจัดการข้อมูลความปลอดภัย (SIM) และการจัดการเหตุการณ์ความปลอดภัย (SEM) สิ่งที่หมายถึงคือระบบ SIEM รวมการบันทึกบันทึกดิจิทัลแบบทั่วไปจำนวนมากพร้อมกับระบบที่เฉพาะเจาะจงมากขึ้นที่ดูเหตุการณ์ของผู้ใช้ในบริบท ตัวอย่างเช่น SEM หรือทรัพยากรการจัดการเหตุการณ์การรักษาความปลอดภัยอาจถูกตั้งค่าเพื่อจับรายงานประเภทต่าง ๆ ในการเข้าสู่ระบบบัญชีที่เกิดขึ้นในระดับการเข้าถึงที่แน่นอนในบางช่วงเวลาของวันหรือในรูปแบบที่ผู้ดูแลระบบเครือข่ายสามารถใช้ เพื่อรับรู้ถึงอันตรายหรือจัดการกับปัญหาด้านการบริหารประเภทต่างๆ อย่างไรก็ตามระบบการจัดการข้อมูลความปลอดภัยนำเสนอรายงานที่กว้างขึ้นตามข้อมูลรวมทั้งหมดที่รวบรวมเกี่ยวกับการรับส่งข้อมูลเครือข่าย
ผู้เชี่ยวชาญบางคนได้กำหนดแนวคิดว่า SIEM จะใช้แทนเครื่องมือตรวจสอบบันทึกเหตุการณ์โดยเฉลี่ยอย่างไร ตัวอย่างเช่นบางคนแนะนำว่าค่าที่สำคัญของ SIEM นั้นอยู่ในรายงานที่เฉพาะเจาะจงมากขึ้นและคุณลักษณะที่เฉพาะเจาะจงมากขึ้นที่เปิดเผยเพิ่มเติมเกี่ยวกับผลลัพธ์ที่ได้รับการพัฒนาในเครือข่าย ในกรณีที่การตรวจสอบและการจัดการบันทึกเหตุการณ์อาจเสนอมุมมองทั่วไปของสิ่งที่สร้างขึ้นในกระบวนการบันทึกเครื่องมือ SIEM สามารถเสนอมูลค่าเป็นกรรมสิทธิ์จำนวนมากในแง่ของการเข้าสู่กิจกรรมเครือข่ายและดูว่าเกิดอะไรขึ้นในเครือข่าย
