10-15-2021, 02:59 PM
Witam,
Chciałem się dowiedzieć jak Energy Logserver pomaga zarządza ryzykiem w wykrytych incdentach?
Chciałem się dowiedzieć jak Energy Logserver pomaga zarządza ryzykiem w wykrytych incdentach?
Risk Management
Users browsing this thread: 1 Guest(s)
|
Risk Management
|
|
10-15-2021, 03:11 PM
Zarządzanie ryzykiem w Energy Logserver
Zdarzenia płynące z systemów informatycznych posiadają powtarzalny charakter. W ramach źródeł tego samego typu możemy się spodziewać ujednoliconej formy komunikatów. Incydenty oraz błędy aplikacyjne są do siebie podobne i tylko wprawne oko analityka pozwala zatrzymać się nad konkretnym problemem. Unikalna wiedza zespołu analitycznego dotyczy znajomości organizacji i jej procesów, źródeł, wrażliwych okresów czasu przetwarzania, szczególnych użytkowników pracujących w systemie i wielu innych atrybutów związanych z wskazanym wpisem w logu. Człowiek nadaje znaczenie danym na podstawie własnej klasyfikacji problemu i automatycznie szacuje ryzyko związane zauważonym problemem. To zagadnienie adresuje moduł Risk Management w Energy Logserver. Operator platformy ma możliwość wpływania na poziom istotności zauważonego zdarzenia poprzez odpowiednie rozpoznanie cech systemu źródłowego, konta użytkownika, nazwy procesu lub innego atrybutu. W praktyce, dla dowolnego pola danych np.: hostname tworzymy nową kategorię ryzyka np.: Production. ![[Image: 1-2-300x164.png]](https://energylogserver.com/wp-content/uploads/2021/10/1-2-300x164.png) Każda kategoria posiada nadane punkty. Wartość 50 to stan wyjściowy. Do wskazanej kategorii dołączamy obiekty na podstawie danych z indeksu. Zakładka Create Alert Rule pozwala na wybranie wartości z naszych danych. ![[Image: 2-1-300x284.png]](https://energylogserver.com/wp-content/uploads/2021/10/2-1-300x284.png) Od tego momentu posiadamy obiekty z przyporządkowanymi kategoriami ryzyka. Czas na wykorzystanie. Podczas budowy Alertu podajemy pole „Risk Key”, dla którego analiza ryzyka będzie prowadzona. ![[Image: 3-1-300x160.png]](https://energylogserver.com/wp-content/uploads/2021/10/3-1-300x160.png) Nasza reguła również posiada poziom istotności, rozpoczynający się od wartości 50. Dzięki temu ostateczny wskaźnik ryzyka będzie wyliczany na podstawie wartości analizowanych obiektów oraz istotności samej reguły. W jaki sposób wyliczane są ostatecznie punkty ryzyka wynika z ustawień „Aggregation type”, którego znaczenie najłatwiej doczytać z dokumentacji. https://kb.energylogserver.com/en/latest...algorithms Od tego momentu, w przypadku detekcji incydentu dla naszej reguły, system automatycznie wyliczy wartość „Risk Key” i zarejestruje ją jako atrybut zdarzenia. ![[Image: 4-1-300x232.png]](https://energylogserver.com/wp-content/uploads/2021/10/4-1-300x232.png) Łatwo zauważyć, że mechanizm ten jest generyczny i może być użyty do rozpoznania dowolnych kategorii i ich ryzyk. Typowe zastosowanie to utworzenie grup podwyższonego ryzyka dla: • użytkowników/loginów kadry zarządczej, • systemów produkcyjnych, • oprogramowania i aplikacji krytycznych, • stref adresowych IP DMZ, • szczególnych portów komunikacji. |
|
|
