À certains égards, la gestion des informations et des événements de sécurité (SIEM) est différente de la gestion normale et moyenne des journaux d'événements que les entreprises utilisent pour examiner la vulnérabilité et les performances du réseau. Cependant, en tant que terme général désignant une gamme de technologies, le SIEM repose à bien des égards sur le principe fondamental de la gestion et de la surveillance des journaux d’événements. La plus grande différence réside peut-être dans les techniques et les fonctionnalités réelles impliquées.
Généralement, SIEM est une combinaison de gestion des informations de sécurité (SIM) et de gestion des événements de sécurité (SEM). Cela signifie que les systèmes SIEM intègrent de nombreuses captures générales d'enregistrement de journaux numériques, ainsi que des systèmes plus spécifiques qui examinent les événements des utilisateurs dans leur contexte. Par exemple, une ressource de gestion SEM ou d'événements de sécurité peut être configurée pour capturer différents types de rapports spécifiques sur les connexions aux comptes qui se sont produites à un certain niveau d'accès, à une certaine heure de la journée ou selon un certain modèle que les administrateurs réseau peuvent utiliser. sentir un danger ou faire face à divers types de problèmes administratifs. Cependant, un système de gestion des informations de sécurité propose des rapports plus larges basés sur toutes les données globales collectées sur le trafic réseau.
Certains experts ont défini des idées sur la façon dont SIEM remplace l'outil moyen de surveillance des journaux d'événements. Par exemple, certains suggèrent que la valeur majeure du SIEM réside dans des rapports plus spécifiques et des fonctionnalités plus spécifiques qui en révèlent davantage sur les résultats développés dans un réseau. Là où la surveillance et la gestion des journaux d'événements peuvent simplement offrir une vue générique de ce qui est généré dans un processus de journalisation, les outils SIEM peuvent offrir beaucoup de valeur propriétaire, en termes de véritable immersion dans l'activité du réseau et de visualisation de ce qui se passe dans un réseau.