Q:
Qual a diferença entre SEM, SIM e SIEM?
UMA:Como três tipos de processos muito semelhantes e distintos, os três acrônimos SEM, SIM e SIEM tendem a ficar confusos ou causar confusão para aqueles que não estão familiarizados com os processos de segurança.
No centro da questão está a semelhança entre gerenciamento de eventos de segurança ou SEM e gerenciamento de informações de segurança ou SIM.
Esses dois tipos de coleta de informações têm a ver com a coleta de informações de log de segurança ou outros dados semelhantes para armazenamento a longo prazo ou com a análise do ambiente de segurança de uma rede.
A principal diferença é que, no gerenciamento de informações de segurança, a tecnologia está simplesmente coletando informações de um log, que pode consistir em vários tipos diferentes de dados. No gerenciamento de eventos de segurança, a tecnologia está analisando mais de perto tipos específicos de eventos. Por exemplo, os especialistas costumam citar um "evento de superusuário" como algo que a tecnologia de gerenciamento de eventos de segurança estaria procurando. Você pode imaginar tecnologias projetadas especificamente para procurar autenticações suspeitas, logons de conta ou acesso de gerenciamento de alto nível em horários específicos do dia ou da noite.
O acrônimo SIEM ou gerenciamento de eventos de informações de segurança refere-se a tecnologias com alguma combinação de gerenciamento de informações de segurança e gerenciamento de eventos de segurança. Como esses já são muito semelhantes, o termo abrangente pode ser útil na descrição de ferramentas e recursos de segurança modernos. Novamente, a chave é diferenciar o monitoramento de eventos do monitoramento de informações gerais. Outra maneira importante de distinguir esses dois é considerar o gerenciamento de informações de segurança como um tipo de processo de longo prazo ou mais amplo, em que conjuntos de dados mais diversos podem ser analisados de maneiras mais metódicas. O gerenciamento de eventos de segurança, por outro lado, está novamente analisando os tipos específicos de eventos do usuário que podem constituir sinalizadores vermelhos ou dizer aos administradores coisas específicas sobre a atividade da rede.