问:
SIEM与常规事件日志管理和监视有何不同?
A:在某些方面,安全信息和事件管理(SIEM)与企业用来查看网络漏洞和性能的常规,平均事件日志管理不同。 但是,SIEM作为一系列技术的总称,在许多方面都建立在事件日志管理和监视的核心原则上。 最大的不同可能是所涉及的实际技术和功能。
通常,SIEM是安全信息管理(SIM)和安全事件管理(SEM)的组合。 这意味着SIEM系统结合了许多数字日志记录的常规捕获功能,以及结合上下文查看用户事件的更特定的系统。 例如,可以设置SEM或安全事件管理资源来捕获有关帐户登录的不同种类的特定报告,这些报告在特定访问级别,一天中的特定时间或以网络管理员可以使用的特定模式发生感知危险,或处理各种行政问题。 但是,安全信息管理系统会基于收集的有关网络流量的所有汇总数据提供更广泛的报告。
一些专家已经定义了有关SIEM如何取代平均事件日志监视工具的想法。 例如,有人认为SIEM的主要价值在于更具体的报告,以及更具体的功能,这些功能可以揭示更多关于网络中已开发成果的信息。 在事件日志监视和管理仅可以提供日志过程中生成的内容的一般视图的情况下,SIEM工具可以提供很多专有价值,以真正参与网络活动并查看网络中发生的事情而言。
