Q:
¿Cuál es la diferencia entre SEM, SIM y SIEM?
UN:Como tres tipos de procesos muy similares pero distintos, los tres acrónimos SEM, SIM y SIEM tienden a confundirse o causar confusión a aquellos que no están familiarizados con los procesos de seguridad.
El núcleo del problema es la similitud entre la gestión de eventos de seguridad o SEM, y la gestión de información de seguridad o SIM.
Ambos tipos de recopilación de información tienen que ver con la recopilación de información de registro de seguridad u otros datos similares para el almacenamiento a largo plazo, o para analizar el entorno de seguridad de una red.
La diferencia clave es que en la gestión de la información de seguridad, la tecnología simplemente está recopilando información de un registro, que puede consistir en varios tipos diferentes de datos. En la gestión de eventos de seguridad, la tecnología está observando más de cerca tipos específicos de eventos. Por ejemplo, los expertos a menudo citan un "evento de superusuario" como algo que la tecnología de gestión de eventos de seguridad estaría buscando. Puede imaginar tecnologías específicamente diseñadas para buscar autenticaciones sospechosas, inicios de sesión de cuentas o acceso de gestión de alto nivel en momentos específicos del día o de la noche.
El acrónimo SIEM o gestión de eventos de información de seguridad se refiere a tecnologías con alguna combinación de gestión de información de seguridad y gestión de eventos de seguridad. Dado que estos ya son muy similares, el término general más amplio puede ser útil para describir herramientas y recursos de seguridad modernos. Nuevamente, la clave es diferenciar el monitoreo de eventos del monitoreo de información general. Otra forma clave de distinguir estos dos es considerar la gestión de la información de seguridad como un tipo de proceso a largo plazo o más amplio, donde se pueden analizar conjuntos de datos más diversos de formas más metódicas. La gestión de eventos de seguridad, por el contrario, vuelve a analizar los tipos específicos de eventos de usuario que pueden constituir señales de alerta o informar a los administradores acerca de actividades específicas de la red.