问:
SEM,SIM和SIEM有什么区别?
A:作为三种非常相似但截然不同的过程类型,这三个缩写词SEM,SIM和SIEM容易引起混淆,或者对相对不熟悉安全性过程的人造成混淆。
问题的核心是安全事件管理或SEM与安全信息管理或SIM之间的相似性。
这两种类型的信息收集都与收集安全日志信息或其他类似数据以进行长期存储或分析网络的安全环境有关。
关键区别在于,在安全信息管理中,该技术只是从日志中收集信息,该日志可能包含各种不同类型的数据。 在安全事件管理中,该技术正在更密切地关注特定类型的事件。 例如,专家经常引用“超级用户事件”作为安全事件管理技术所需要的东西。 您可能会想到专门设计用于在白天或晚上的特定时间寻找可疑身份验证,帐户登录或高级管理访问权限的技术。
缩写SIEM或安全信息事件管理是指将安全信息管理和安全事件管理进行某种组合的技术。 由于这些已经非常相似,因此笼统的术语对描述现代安全工具和资源很有用。 同样,关键是要区分事件监视和常规信息监视。 区分这两者的另一种关键方法是将安全信息管理视为一种长期或更广泛的过程,在此过程中,可以以更有条理的方式分析更多样化的数据集。 相比之下,安全事件管理再次查看可能构成危险信号或告诉管理员有关网络活动的特定事件的特定类型的用户事件。
