+- Monitoring Serwerów - Forum o monitoringu infrastruktury IT (https://monitoringserwerow.pl)
+-- Forum: MONITORING INFRASTRUKTURY IT (https://monitoringserwerow.pl/forumdisplay.php?fid=1)
+--- Forum: Energy Logserver - SIEM Plan (https://monitoringserwerow.pl/forumdisplay.php?fid=21)
+--- Thread: Risk Management (/showthread.php?tid=128)
Risk Management - WhiteHatPirate - 10-15-2021
Witam,
Chciałem się dowiedzieć jak Energy Logserver pomaga zarządza ryzykiem w wykrytych incdentach?
RE: Risk Management - SzymonC - 10-15-2021
Zarządzanie ryzykiem w Energy Logserver
Zdarzenia płynące z systemów informatycznych posiadają powtarzalny charakter. W ramach źródeł tego samego typu możemy się spodziewać ujednoliconej formy komunikatów. Incydenty oraz błędy aplikacyjne są do siebie podobne i tylko wprawne oko analityka pozwala zatrzymać się nad konkretnym problemem. Unikalna wiedza zespołu analitycznego dotyczy znajomości organizacji i jej procesów, źródeł, wrażliwych okresów czasu przetwarzania, szczególnych użytkowników pracujących w systemie i wielu innych atrybutów związanych z wskazanym wpisem w logu. Człowiek nadaje znaczenie danym na podstawie własnej klasyfikacji problemu i automatycznie szacuje ryzyko związane zauważonym problemem.
To zagadnienie adresuje moduł Risk Management w Energy Logserver. Operator platformy ma możliwość wpływania na poziom istotności zauważonego zdarzenia poprzez odpowiednie rozpoznanie cech systemu źródłowego, konta użytkownika, nazwy procesu lub innego atrybutu. W praktyce, dla dowolnego pola danych np.: hostname tworzymy nową kategorię ryzyka np.: Production.
![[Image: 1-2-300x164.png]](https://energylogserver.com/wp-content/uploads/2021/10/1-2-300x164.png)
Każda kategoria posiada nadane punkty. Wartość 50 to stan wyjściowy.
Do wskazanej kategorii dołączamy obiekty na podstawie danych z indeksu. Zakładka Create Alert Rule pozwala na wybranie wartości z naszych danych.
![[Image: 2-1-300x284.png]](https://energylogserver.com/wp-content/uploads/2021/10/2-1-300x284.png)
Od tego momentu posiadamy obiekty z przyporządkowanymi kategoriami ryzyka. Czas na wykorzystanie.
Podczas budowy Alertu podajemy pole „Risk Key”, dla którego analiza ryzyka będzie prowadzona.
![[Image: 3-1-300x160.png]](https://energylogserver.com/wp-content/uploads/2021/10/3-1-300x160.png)
Nasza reguła również posiada poziom istotności, rozpoczynający się od wartości 50. Dzięki temu ostateczny wskaźnik ryzyka będzie wyliczany na podstawie wartości analizowanych obiektów oraz istotności samej reguły.
W jaki sposób wyliczane są ostatecznie punkty ryzyka wynika z ustawień „Aggregation type”, którego znaczenie najłatwiej doczytać z dokumentacji.
https://kb.energylogserver.com/en/latest/08-00-00-Alert_module/08-00-00-Alert_module.html?highlight=risk#risk-calculation-algorithms
Od tego momentu, w przypadku detekcji incydentu dla naszej reguły, system automatycznie wyliczy wartość „Risk Key” i zarejestruje ją jako atrybut zdarzenia.
![[Image: 4-1-300x232.png]](https://energylogserver.com/wp-content/uploads/2021/10/4-1-300x232.png)
Łatwo zauważyć, że mechanizm ten jest generyczny i może być użyty do rozpoznania dowolnych kategorii i ich ryzyk. Typowe zastosowanie to utworzenie grup podwyższonego ryzyka dla:
• użytkowników/loginów kadry zarządczej,
• systemów produkcyjnych,
• oprogramowania i aplikacji krytycznych,
• stref adresowych IP DMZ,
• szczególnych portów komunikacji.