Q:
SIEMは一般的なイベントログの管理と監視とどのように違いますか?
A:いくつかの点で、セキュリティ情報とイベント管理(SIEM)は、企業がネットワークの脆弱性とパフォーマンスを調べるために使用する通常の平均的なイベントログ管理とは異なります。 ただし、SIEMは、さまざまな技術の包括的な用語として、多くの点で、イベントログの管理と監視という基本原則に基づいて構築されています。 最大の違いは、実際の手法と関連する機能かもしれません。
一般に、SIEMはセキュリティ情報管理(SIM)とセキュリティイベント管理(SEM)の組み合わせです。 つまり、SIEMシステムには、ユーザーイベントをコンテキストで見るより具体的なシステムとともに、デジタルログ記録の一般的なキャプチャが多数組み込まれています。 たとえば、特定のアクセスレベル、特定の時刻、またはネットワーク管理者が使用できる特定のパターンで発生したアカウントログインに関するさまざまな種類の特定のレポートをキャプチャするように、SEMまたはセキュリティイベント管理リソースを設定できます。危険を感じたり、さまざまな種類の管理上の問題に対処したりします。 ただし、セキュリティ情報管理システムは、ネットワークトラフィックについて収集されたすべての集約データに基づいて、より広範なレポートを提供します。
一部の専門家は、SIEMが平均的なイベントログ監視ツールに取って代わる方法のアイデアを定義しています。 たとえば、SIEMの主な価値は、より具体的なレポート、およびネットワークで開発された結果についてより明らかにするより具体的な機能にあると示唆する人もいます。 イベントログの監視と管理は、ログプロセスで生成されるものの一般的なビューを提供するだけですが、SIEMツールは、実際にネットワークアクティビティを取得し、ネットワークで何が起こっているかを見るという点で、多くの独自の価値を提供できます。
