Differenza tra processi SEM, SIM e SIEM in informatica
SEM, SIM e SIEM
In informatica, essendo tre tipi di processi molto simili ma distinti, i tre acronimi SEM, SIM e SIEM tendono a confondersi e a creare confusione per coloro che non hanno familiarità con i processi di sicurezza.
Al centro del problema c’è la somiglianza tra la gestione degli eventi di sicurezza o SEM e la gestione delle informazioni di sicurezza o SIM.
Entrambi questi tipi di raccolta di informazioni hanno a che fare con la raccolta di informazioni del registro di sicurezza o altri dati simili per l’archiviazione a lungo termine o per analizzare l’ambiente di sicurezza di una rete.
La differenza fondamentale è che nella gestione delle informazioni di sicurezza, la tecnologia raccoglie semplicemente informazioni da un registro, che può essere costituito da diversi tipi di dati. Nella gestione degli eventi di sicurezza, la tecnologia sta esaminando più da vicino tipi specifici di eventi. Ad esempio, gli esperti spesso citano un “evento di superutente” come qualcosa che la tecnologia di gestione degli eventi di sicurezza dovrebbe cercare. Potresti immaginare tecnologie progettate specificamente per cercare autenticazioni sospette, accessi all’account o accesso di gestione di alto livello in orari specifici del giorno o della notte.
D’altro canto invece, l’acronimo SIEM o gestione degli eventi delle informazioni di sicurezza si riferisce a tecnologie con una combinazione di gestione delle informazioni di sicurezza e gestione degli eventi di sicurezza. Poiché sono già molto simili, il termine generico più ampio può essere utile per descrivere gli strumenti e le risorse di sicurezza moderni. Ancora una volta, la chiave è differenziare il monitoraggio degli eventi dal monitoraggio delle informazioni generali. Un altro modo fondamentale per distinguere questi due è considerare la gestione delle informazioni di sicurezza come una sorta di processo a lungo termine o più ampio, in cui set di dati più diversi possono essere analizzati in modi più metodici. La gestione degli eventi di sicurezza, al contrario, sta ancora esaminando i tipi specifici di eventi utente che possono costituire segnali di pericolo o dire agli amministratori cose specifiche sull’attività di rete.
Definizione e Differenze principali
Ricapitolando, pur fornendo funzionalità differenti gli acronimi SEM, SIM e SIEM vengono spesso utilizzati come intercambiabili ma le differenze sono le seguenti:
- Il SEM provvede al monitoraggio e alla gestione sistema real-time degli eventi che accadono all’interno della rete e sui vari sistemi di sicurezza, fornendo una correlazione e aggregazione tra essi. Presenta una console centralizzata adibita al monitoraggio, alla segnalazione e risposta automatica a determinati eventi.
- Il SIM è un software utilizzato per automatizzare il processo di raccolta e gestione dei log non in tempo reale. I dati vengono raccolti e spediti ad un server centralizzato tramite l’utilizzo di software agent installati sui vari dispositivi del sistema monitorato. La possibilità di usufruire di spazi di archiviazione a lungo termine unita all’analisi dei dati consente la generazione di report personalizzati.
- La gestione degli incidenti e degli eventi di sicurezza (SIEM) è il processo di identificazione, monitoraggio, registrazione e analisi di eventi o incidenti di sicurezza all’interno di un ambiente IT in tempo reale. Fornisce una visione completa e centralizzata dello scenario di sicurezza di un’infrastruttura IT. La gestione degli incidenti e degli eventi di sicurezza è nota anche come gestione degli eventi delle informazioni di sicurezza.
