Monitoring Serwerów - Forum o monitoringu infrastruktury IT
Risk Management
#2
Zarządzanie ryzykiem w Energy Logserver

Zdarzenia płynące z systemów informatycznych posiadają powtarzalny charakter. W ramach źródeł tego samego typu możemy się spodziewać ujednoliconej formy komunikatów. Incydenty oraz błędy aplikacyjne są do siebie podobne i tylko wprawne oko analityka pozwala zatrzymać się nad konkretnym problemem. Unikalna wiedza zespołu analitycznego dotyczy znajomości organizacji i jej procesów, źródeł, wrażliwych okresów czasu przetwarzania, szczególnych użytkowników pracujących w systemie i wielu innych atrybutów związanych z wskazanym wpisem w logu. Człowiek nadaje znaczenie danym na podstawie własnej klasyfikacji problemu i automatycznie szacuje ryzyko związane zauważonym problemem.

To zagadnienie adresuje moduł Risk Management w Energy Logserver. Operator platformy ma możliwość wpływania na poziom istotności zauważonego zdarzenia poprzez odpowiednie rozpoznanie cech systemu źródłowego, konta użytkownika, nazwy procesu lub innego atrybutu. W praktyce, dla dowolnego pola danych np.: hostname tworzymy nową kategorię ryzyka np.: Production.

[Image: 1-2-300x164.png]

Każda kategoria posiada nadane punkty. Wartość 50 to stan wyjściowy.
Do wskazanej kategorii dołączamy obiekty na podstawie danych z indeksu. Zakładka Create Alert Rule pozwala na wybranie wartości z naszych danych.

[Image: 2-1-300x284.png]

Od tego momentu posiadamy obiekty z przyporządkowanymi kategoriami ryzyka. Czas na wykorzystanie.
Podczas budowy Alertu podajemy pole „Risk Key”, dla którego analiza ryzyka będzie prowadzona.

[Image: 3-1-300x160.png]

Nasza reguła również posiada poziom istotności, rozpoczynający się od wartości 50. Dzięki temu ostateczny wskaźnik ryzyka będzie wyliczany na podstawie wartości analizowanych obiektów oraz istotności samej reguły.
W jaki sposób wyliczane są ostatecznie punkty ryzyka wynika z ustawień „Aggregation type”, którego znaczenie najłatwiej doczytać z dokumentacji.
https://kb.energylogserver.com/en/latest...algorithms

Od tego momentu, w przypadku detekcji incydentu dla naszej reguły, system automatycznie wyliczy wartość „Risk Key” i zarejestruje ją jako atrybut zdarzenia.

[Image: 4-1-300x232.png]

Łatwo zauważyć, że mechanizm ten jest generyczny i może być użyty do rozpoznania dowolnych kategorii i ich ryzyk. Typowe zastosowanie to utworzenie grup podwyższonego ryzyka dla:
• użytkowników/loginów kadry zarządczej,
• systemów produkcyjnych,
• oprogramowania i aplikacji krytycznych,
• stref adresowych IP DMZ,
• szczególnych portów komunikacji.
Reply


Messages In This Thread
Risk Management - by WhiteHatPirate - 10-15-2021, 02:59 PM
RE: Risk Management - by SzymonC - 10-15-2021, 03:11 PM

Forum Jump:

User Panel Messages