Zarządzanie ryzykiem w Energy Logserver - Printable Version +- Monitoring Serwerów - Forum o monitoringu infrastruktury IT (https://monitoringserwerow.pl) +-- Forum: MONITORING INFRASTRUKTURY IT (https://monitoringserwerow.pl/forumdisplay.php?fid=1) +--- Forum: Energy Logserver - SIEM Plan (https://monitoringserwerow.pl/forumdisplay.php?fid=21) +--- Thread: Zarządzanie ryzykiem w Energy Logserver (/showthread.php?tid=126) |
Zarządzanie ryzykiem w Energy Logserver - ArturB - 10-04-2021 Zdarzenia płynące z systemów informatycznych posiadają powtarzalny charakter. W ramach źródeł tego samego typu możemy się spodziewać ujednoliconej formy komunikatów. Incydenty oraz błędy aplikacyjne są do siebie podobne i tylko wprawne oko analityka pozwala zatrzymać się nad konkretnym problemem. Unikalna wiedza zespołu analitycznego dotyczy znajomości organizacji i jej procesów, źródeł, wrażliwych okresów czasu przetwarzania, szczególnych użytkowników pracujących w systemie i wielu innych atrybutów związanych z wskazanym wpisem w logu. Człowiek nadaje znaczenie danym na podstawie własnej klasyfikacji problemu i automatycznie szacuje ryzyko związane zauważonym problemem. To zagadnienie adresuje moduł Risk Management w Energy Logserver. Operator platformy ma możliwość wpływania na poziom istotności zauważonego zdarzenia poprzez odpowiednie rozpoznanie cech systemu źródłowego, konta użytkownika, nazwy procesu lub innego atrybutu. W praktyce, dla dowolnego pola danych np.: hostname tworzymy nową kategorię ryzyka np.: Production. Każda kategoria posiada nadane punkty. Wartość 50 to stan wyjściowy. Do wskazanej kategorii dołączamy obiekty na podstawie danych z indeksu. Zakładka Create Alert Rule pozwala na wybranie wartości z naszych danych. Od tego momentu posiadamy obiekty z przyporządkowanymi kategoriami ryzyka. Czas na wykorzystanie. Podczas budowy Alertu podajemy pole „Risk Key”, dla którego analiza ryzyka będzie prowadzona. Nasza reguła również posiada poziom istotności, rozpoczynający się od wartości 50. Dzięki temu ostateczny wskaźnik ryzyka będzie wyliczany na podstawie wartości analizowanych obiektów oraz istotności samej reguły. W jakiś sposób wyliczane są ostatecznie punkty ryzyka wynika z ustawień „Aggregation type”, którego znaczenie najłatwiej doczytać z dokumentacji. https://kb.energylogserver.com/en/latest/08-00-00-Alert_module/08-00-00-Alert_module.html?highlight=risk#risk-calculation-algorithms Od tego momentu, w przypadku detekcji incydentu dla naszej reguły, system automatycznie wyliczy wartość „Risk Key” i zarejestruje ją jako atrybut zdarzenia. Łatwo zauważyć, że mechanizm ten jest generyczny i może być użyty do rozpoznania dowolnych kategorii i ich ryzyk. Typowe zastosowanie to utworzenie grup podwyższonego ryzyka dla: • użytkowników/loginów kadry zarządczej, • systemów produkcyjnych, • oprogramowania i aplikacji krytycznych, • stref adresowych IP DMZ, • szczególnych portów komunikacji. |