Le migliori pratiche durante la classificazione della gravità dei messaggi di registro in un SIEM

1

Quando si distribuisce una soluzione SIEM, qual è la procedura migliore quando si classifica la gravità di ciascun evento che viene inviato da singoli dispositivi?

Capisco che questo possa essere un po 'soggettivo e dipende dall'obiettivo di monitoraggio dell'organizzazione ma esiste un punto di partenza o pratiche comuni su come classificare la gravità dei messaggi?

    
posta NAT3863 31.10.2013 - 11:51
fonte

2 risposte

3

Dipenderà interamente da qual è il tuo obiettivo. In genere è necessario classificare la gravità in base alla minaccia della continuità aziendale. Prima di tutto categorizza per tipo e sottocategoria:

  • Eventi di sicurezza = > esterno, interno

  • Disponibilità = > hardware (array di dischi, batterie in esaurimento, chassis aperto ...), software (il servizio http è ancora disponibile, qual è il tempo di risposta, quali sono le nostre macchine che utilizzano in risorse, ...)

Quindi, per ciascuna sottocategoria, decidi tu stesso la criticità di ogni evento, tenendo presente: "Quale minaccia questo evento rappresenta per la nostra continuità aziendale". Puoi differenziare con:

  • Basso (avviso, ma nessun impatto diretto se il problema aumenta, un errore)
  • Medio (avviso, ma ha un impatto se il problema aumenta)
  • Alto (Pericolo, il sistema sta per diventare non disponibile)
  • Critico (il sistema è inattivo o i sistemi aziendali critici sono prossimi al fallimento)

Per gli eventi di sicurezza questo potrebbe essere lo stesso. Ad esempio, una scansione di una porta esterna potrebbe essere un rischio medio, è necessario un avvertimento, ma probabilmente è solo il rumore di Internet, mentre una scansione delle porte proveniente dalla rete interna è molto più preoccupante.

    
risposta data 31.10.2013 - 12:33
fonte
1

Ci sono diverse iniziative in cantiere per rendere più facile la definizione da parte delle aziende. Ma tutto dipende dagli individui per definire ciò che è importante per loro.

Alcuni framework includono:

risposta data 05.11.2013 - 18:50
fonte

Leggi altre domande sui tag