به طور خلاصه وظیفه SIEM جمعآوری لاگ نیست، مسوولیت اصلی آن اعمال برخط قوانین همبستگی[۱] جهت بررسی ارتباط رخدادهای امنیتی دریافت شده و تولید هشدارهای امنیتی انگشت شمار است که با قطعیت بالایی نشانگر یک رخداد امنیتی مهم نظیر وفوع حمله در مراحل ابتدایی آن است.آگاه ساختن تیم SOC و فراهم آوردن زمینه لازم برای بررسی صحت هشدار حاصل، اقدامات بازدارنده، و انجام تحلیل جرمشناسی[۲]، ارائه گزارشهای تطبیقی[۳] بر عهده یک SIEM است.
بهره گیری از SIEM نیازمند بکارگیری نیروهای خبره و متخصص در زمینه امنیت سایبری است، صرفا خرید یک محصول و پیکربندی اولیه آن کمکی به برقراری امنیت سازمان نمیکند.
ایجاد قوانین همبستگی (محور اصلی عملکرد یک SIEM است) سفارشی شده نیازمند نیروی متخصص در حوزه امنیت است که متناسب با ویژگیهای عملکردی و ساختار ترافیک عادی سازمان به طور دائم با نظارت بر عملکرد و ترافیک سازمان این قوانین را تولید کند (که به احتمال زیاد در دسترس نیست، بنابراین تکیه بر قوانین همبستگی از پیش طراحی شده در SIEM و بروزرسانی آن توسط فروشنده است).
جمعآوری لاگ از کلیه میزبانها و تجهیزات شبکه ضروری نیست. صرفا لاگ تجهیزاتی که نقش کلیدی در عملکرد سازمان دارند باید جمعآوری گردد. این امر نیازمند نظارت دائمی بر روندهای تدارک دیده شده در سازمان است.
تولید گزارشهای مدیریتی و فنی که بیانگر ضرورت و مسمر ثمر بودن بکارگیری SIEM است نیازمند سفارشی سازی گزارشهای SIEM است.
در ادامه با توجه به تحقیق شرکت گارتنر که به مقایسه ۹ محصول مطرح در زمینه SIEM پرداخته قابلیتهای کلیدی و متمایزکننده SIEMها مورد بررسی قرار میگیرد:
[۱] Correlation rules
[۲] Forensics analysis
[۳] Compliance reporting