İçerik
S:
SIEM'in genel olay günlüğü yönetimi ve izlemesinden farkı nedir?
A:
Bazı yönlerde, güvenlik bilgileri ve olay yönetimi (SIEM), işletmelerin ağ güvenlik açığı ve performansına bakmak için kullandıkları normal, ortalama olay günlüğü yönetiminden farklıdır. Bununla birlikte, çeşitli teknolojiler için bir çeşit battaniye terimi olarak SIEM, olay günlüğü yönetimi ve izlemenin temel prensibi üzerine inşa edilmiştir. En büyük fark, ilgili teknikler ve özellikler olabilir.
Genellikle, SIEM bir güvenlik bilgi yönetimi (SIM) ve güvenlik olay yönetimi (SEM) birleşimidir. Bunun anlamı, SIEM sistemlerinin, kullanıcı olaylarına bakıldığında daha spesifik sistemlerin yanı sıra, bir çok genel dijital kayıt kaydını yakalamasıdır. Örneğin, belirli bir erişim düzeyinde, günün belirli bir saatinde veya ağ yöneticilerinin kullanabileceği belirli bir düzende gerçekleşen hesap girişleriyle ilgili farklı rapor türlerini yakalamak için bir SEM veya güvenlik olay yönetimi kaynağı oluşturulabilir. Tehlikeyi hissetmek veya çeşitli idari konularla ilgilenmek. Bununla birlikte, bir güvenlik bilgi yönetimi sistemi, ağ trafiği hakkında toplanan tüm toplu verilere dayanarak daha geniş raporlar sunar.
Bazı uzmanlar, SIEM'in ortalama olay günlüğü izleme aracının yerini aldığı konusunda fikirlerini tanımlamıştır. Örneğin, bazıları, SIEM'in ana değerinin daha spesifik raporlarda olduğunu ve bir ağda gelişmiş sonuçlar hakkında daha fazla bilgi veren daha spesifik özelliklerde olduğunu öne sürüyor. Olay günlüğü izlemesi ve yönetiminin bir kayıt işleminde neyin üretildiğine ilişkin genel bir bakış açısı sunabileceği durumlarda, SIEM araçları, ağ faaliyetlerine gerçekten girme ve bir ağda neler olup bittiğini görme açısından birçok özel değer sunabilir.