SIEM(SecurityInformationandEventManagement)は、一般的なセキュリティシステムとは基本的な概念が異なります。たいていのセキュリティシステムは脅威の侵入を防ぐことが最優先事項です。それに対して、脅威のスムーズな検知を重視し、異常の発生を担当者に知らせる点に注力しています。つまり、リアルタイムで監視を遂行することが概念のベースで、自動的に通知する仕組みも不可欠です。
サービス自体はファイアウオールやプロキシとセットで提供されるケースもよくあります。それらのログを一元的に管理して、得られたデータの組み合わせで解析を進めます。単独では見逃していたような脅威の痕跡も分かることが多いです。マルウェアの感染なども、まだ表面化していない段階でチェックできます。
いずれにせよ、早期発見の成功がSIEM(SecurityInformationandEventManagement)の要です。解析の精度を上げるために、多様なログを集めなければなりません。したがって、機器ごとにログを入手しやすくする工夫が求められます。このような機能が備わっていない場合、後付けの搭載も検討することになります。
なお、SIEM(SecurityInformationandEventManagement)で行うのは、あくまでもログを使った処理です。しかし、その効果で不正アクセスなどのリスクを未然に抑制しやすいというメリットもあります。先手を打つための方針を得られるので、より強固なセキュリティを構築しやすいです。