Qual a diferença entre o siem e o gerenciamento e monitoramento de logs de eventos gerais?

Q:

Qual a diferença entre o SIEM e o gerenciamento e monitoramento de logs de eventos gerais?

De certa forma, o gerenciamento de informações e eventos de segurança (SIEM) é diferente do gerenciamento médio normal de logs de eventos que as empresas usam para examinar a vulnerabilidade e o desempenho da rede. No entanto, como um tipo de termo genérico para uma variedade de tecnologias, o SIEM é construído de várias maneiras no princípio central do gerenciamento e monitoramento de logs de eventos. A maior diferença pode ser as técnicas e recursos reais envolvidos.

Geralmente, o SIEM é uma combinação de gerenciamento de informações de segurança (SIM) e gerenciamento de eventos de segurança (SEM). O que isso significa é que os sistemas SIEM incorporam muitas capturas gerais da gravação digital de registros, juntamente com sistemas mais específicos que analisam os eventos do usuário em contexto. Por exemplo, um SEM ou recurso de gerenciamento de eventos de segurança pode ser configurado para capturar diferentes tipos de relatórios específicos em logons de contas que ocorreram em um determinado nível de acesso, em uma determinada hora do dia ou em um determinado padrão que os administradores de rede podem usar sentir perigo ou lidar com vários tipos de questões administrativas. No entanto, um sistema de gerenciamento de informações de segurança oferece relatórios mais amplos com base em todos os dados agregados coletados sobre o tráfego de rede.

Alguns especialistas definiram idéias de como o SIEM substitui a ferramenta média de monitoramento de logs de eventos. Por exemplo, alguns sugerem que o principal valor do SIEM está em relatórios mais específicos e em recursos mais específicos que revelam mais sobre os resultados desenvolvidos em uma rede. Onde o monitoramento e o gerenciamento de log de eventos podem oferecer apenas uma visão genérica do que é gerado em um processo de log, as ferramentas SIEM podem oferecer muito valor proprietário, em termos de realmente entrar na atividade da rede e ver o que acontece em uma rede.