Monitoring Serwerów - Forum o monitoringu infrastruktury IT
Zarządzanie ryzykiem w Energy Logserver - Printable Version

+- Monitoring Serwerów - Forum o monitoringu infrastruktury IT (https://monitoringserwerow.pl)
+-- Forum: MONITORING INFRASTRUKTURY IT (https://monitoringserwerow.pl/forumdisplay.php?fid=1)
+--- Forum: Energy Logserver - SIEM Plan (https://monitoringserwerow.pl/forumdisplay.php?fid=21)
+--- Thread: Zarządzanie ryzykiem w Energy Logserver (/showthread.php?tid=126)



Zarządzanie ryzykiem w Energy Logserver - ArturB - 10-04-2021

Zdarzenia płynące z systemów informatycznych posiadają powtarzalny charakter. W ramach źródeł tego samego typu możemy się spodziewać ujednoliconej formy komunikatów. Incydenty oraz błędy aplikacyjne są do siebie podobne i tylko wprawne oko analityka pozwala zatrzymać się nad konkretnym problemem. Unikalna wiedza zespołu analitycznego dotyczy znajomości organizacji i jej procesów, źródeł, wrażliwych okresów czasu przetwarzania, szczególnych użytkowników pracujących w systemie i wielu innych atrybutów związanych z wskazanym wpisem w logu. Człowiek nadaje znaczenie danym na podstawie własnej klasyfikacji problemu i automatycznie szacuje ryzyko związane zauważonym problemem.

To zagadnienie adresuje moduł Risk Management w Energy Logserver. Operator platformy ma możliwość wpływania na poziom istotności zauważonego zdarzenia poprzez odpowiednie rozpoznanie cech systemu źródłowego, konta użytkownika, nazwy procesu lub innego atrybutu. W praktyce, dla dowolnego pola danych np.: hostname tworzymy nową kategorię ryzyka np.: Production.
[Image: 1.png]

Każda kategoria posiada nadane punkty. Wartość 50 to stan wyjściowy.

Do wskazanej kategorii dołączamy obiekty na podstawie danych z indeksu. Zakładka Create Alert Rule pozwala na wybranie wartości z naszych danych.
[Image: 2.png]


Od tego momentu posiadamy obiekty z przyporządkowanymi kategoriami ryzyka. Czas na wykorzystanie.

Podczas budowy Alertu podajemy pole „Risk Key”, dla którego analiza ryzyka będzie prowadzona.

[Image: 3.png]

Nasza reguła również posiada poziom istotności, rozpoczynający się od wartości 50. Dzięki temu ostateczny wskaźnik ryzyka będzie wyliczany na podstawie wartości analizowanych obiektów oraz istotności samej reguły.
W jakiś sposób wyliczane są ostatecznie punkty ryzyka wynika z ustawień „Aggregation type”, którego znaczenie najłatwiej doczytać z dokumentacji.
https://kb.energylogserver.com/en/latest/08-00-00-Alert_module/08-00-00-Alert_module.html?highlight=risk#risk-calculation-algorithms

Od tego momentu, w przypadku detekcji incydentu dla naszej reguły, system automatycznie wyliczy wartość „Risk Key” i zarejestruje ją jako atrybut zdarzenia.


[Image: 4.png]

Łatwo zauważyć, że mechanizm ten jest generyczny i może być użyty do rozpoznania dowolnych kategorii i ich ryzyk. Typowe zastosowanie to utworzenie grup podwyższonego ryzyka dla:
• użytkowników/loginów kadry zarządczej,
• systemów produkcyjnych,
• oprogramowania i aplikacji krytycznych,
• stref adresowych IP DMZ,
• szczególnych portów komunikacji.