Q:
SEM, SIM และ SIEM ต่างกันอย่างไร
A:เนื่องจากกระบวนการสามประเภทที่คล้ายคลึงกัน แต่แตกต่างกันอย่างชัดเจนทั้งสามตัวย่อ SEM, SIM และ SIEM มีแนวโน้มที่จะสับสนหรือก่อให้เกิดความสับสนสำหรับผู้ที่ไม่คุ้นเคยกับกระบวนการรักษาความปลอดภัย
หัวใจสำคัญของปัญหาคือความคล้ายคลึงกันระหว่างการจัดการเหตุการณ์ด้านความปลอดภัยหรือ SEM และการจัดการข้อมูลความปลอดภัยหรือ SIM
การรวบรวมข้อมูลทั้งสองประเภทนี้เกี่ยวข้องกับการรวบรวมข้อมูลบันทึกความปลอดภัยหรือข้อมูลอื่นที่คล้ายคลึงกันสำหรับการจัดเก็บข้อมูลระยะยาวหรือเพื่อวิเคราะห์สภาพแวดล้อมความปลอดภัยของเครือข่าย
ความแตกต่างที่สำคัญคือในการจัดการข้อมูลความปลอดภัยเทคโนโลยีเป็นเพียงการรวบรวมข้อมูลจากบันทึกซึ่งอาจประกอบด้วยข้อมูลประเภทต่าง ๆ ในการจัดการเหตุการณ์ด้านความปลอดภัยเทคโนโลยีกำลังมองหาเหตุการณ์ที่เฉพาะเจาะจงมากขึ้น ตัวอย่างเช่นผู้เชี่ยวชาญมักอ้างถึง "superuser event" เป็นสิ่งที่เทคโนโลยีการจัดการเหตุการณ์ความปลอดภัยจะมองออกไป คุณอาจจินตนาการว่าเทคโนโลยีได้รับการออกแบบมาโดยเฉพาะเพื่อค้นหาการรับรองความถูกต้องที่น่าสงสัยล็อกออนบัญชีหรือการเข้าถึงการจัดการระดับสูงในเวลาที่กำหนดของวันหรือกลางคืน
SIEM ย่อหรือการจัดการเหตุการณ์ความปลอดภัยของข้อมูลหมายถึงเทคโนโลยีที่มีการผสมผสานระหว่างการจัดการข้อมูลความปลอดภัยและการจัดการเหตุการณ์ความปลอดภัย เนื่องจากสิ่งเหล่านี้มีความคล้ายคลึงกันมากคำที่กว้างขึ้นจะมีประโยชน์ในการอธิบายเครื่องมือและทรัพยากรด้านความปลอดภัยที่ทันสมัย กุญแจสำคัญคือการแยกความแตกต่างของการตรวจสอบเหตุการณ์จากการตรวจสอบข้อมูลทั่วไป อีกวิธีที่สำคัญในการแยกความแตกต่างทั้งสองนี้คือการมองการจัดการข้อมูลความปลอดภัยเป็นกระบวนการระยะยาวหรือในวงกว้างซึ่งอาจมีการวิเคราะห์ชุดข้อมูลที่หลากหลายมากขึ้นในรูปแบบที่เป็นระบบมากกว่า ตรงกันข้ามการจัดการเหตุการณ์ด้านความปลอดภัยจะตรวจสอบประเภทของเหตุการณ์ผู้ใช้อีกครั้งซึ่งอาจเป็นธงสีแดงหรือบอกผู้ดูแลระบบเกี่ยวกับกิจกรรมเครือข่าย
