به طور خلاصه وظیفه SIEM جمعآوری لاگ نیست، مسوولیت اصلی آن اعمال برخط قوانین همبستگی[۱] جهت بررسی ارتباط رخدادهای امنیتی دریافت شده و تولید هشدارهای امنیتی انگشت شمار است که با قطعیت بالایی نشانگر یک رخداد امنیتی مهم نظیر وفوع حمله در مراحل ابتدایی آن است.آگاه ساختن تیم SOC و فراهم آوردن زمینه لازم برای بررسی صحت هشدار حاصل، اقدامات بازدارنده، و انجام تحلیل جرمشناسی[۲]، ارائه گزارشهای تطبیقی[۳] بر عهده یک SIEM است.
بهره گیری از SIEM نیازمند بکارگیری نیروهای خبره و متخصص در زمینه امنیت سایبری است، صرفا خرید یک محصول و پیکربندی اولیه آن کمکی به برقراری امنیت سازمان نمیکند.
ایجاد قوانین همبستگی (محور اصلی عملکرد یک SIEM است) سفارشی شده نیازمند نیروی متخصص در حوزه امنیت است که متناسب با ویژگیهای عملکردی و ساختار ترافیک عادی سازمان به طور دائم با نظارت بر عملکرد و ترافیک سازمان این قوانین را تولید کند (که به احتمال زیاد در دسترس نیست، بنابراین تکیه بر قوانین همبستگی از پیش طراحی شده در SIEM و بروزرسانی آن توسط فروشنده است).
جمعآوری لاگ از کلیه میزبانها و تجهیزات شبکه ضروری نیست. صرفا لاگ تجهیزاتی که نقش کلیدی در عملکرد سازمان دارند باید جمعآوری گردد. این امر نیازمند نظارت دائمی بر روندهای تدارک دیده شده در سازمان است.
تولید گزارشهای مدیریتی و فنی که بیانگر ضرورت و مسمر ثمر بودن بکارگیری SIEM است نیازمند سفارشی سازی گزارشهای SIEM است.
در ادامه با توجه به تحقیق شرکت گارتنر که به مقایسه ۹ محصول مطرح در زمینه SIEM پرداخته قابلیتهای کلیدی و متمایزکننده SIEMها مورد بررسی قرار میگیرد:
[۱] Correlation rules
[۲] Forensics analysis
[۳] Compliance reporting
پارامترهای تاثیرگذار در انتخاب و مقایسه SIEMها
 |
Real time monitoring | امکان نظارت برخط بر رخدادهای امنیتی به منظور بررسی و ردیابی حملهها در سطح شبکه به محض وقوع. |
 |
Threat intelligence | داشتن پایگاهداده بروزی از تهدیدهای امنیتی و امضای حملات به منظور شناسایی فعالیتهای مخرب. این پایگاه داده، قوانین همبستگی را در بر می گیرد. |
 |
Behavioral profiling | با توجه به این که امکان تعریف دقیق تمامی امضاهای حملات وجود ندارد، امکان قالبگیری از رفتار طبیعی و رصد کردن هر گونه رفتار غیرطبیعی میتواند مکمل قوانین همبستگی خوش تعریف باشد. |
 |
Data and user Monitoring | نظارت بر دادهها و کاربران به منظور بررسی هر گونه نشت اطلاعات و استفاده ناصحیح برای گزارشهای تطبیقی. |
 |
Application monitoring | نظارت بر آسیبپذیریها و رفتار غیر طبیعی کاربردها که میتواند ناشی از نفوذ موفق و فعالیت مخرب باشد. |
 |
Analytics | امکان تحلیل جرمشناسی و بررسی منشا یک هشدار امنیتی. |
 |
Log management and reporting | مدیریت لاگ و امکان تهیه گزارشهای تطبیقی و سفارشی برای نیازمندی های مدیریتی و فنی |
 |
Deployment and support simplicity | سادگی پیادهسازی و پشتیبانی به منظور به حداقل رسانی تیم SOC |
