Le migliori pratiche durante la classificazione della gravità dei messaggi di registro in un SIEM

Dipenderà interamente da qual è il tuo obiettivo. In genere è necessario classificare la gravità in base alla minaccia della continuità aziendale. Prima di tutto categorizza per tipo e sottocategoria:

• Eventi di sicurezza = > esterno, interno

• Disponibilità = > hardware (array di dischi, batterie in esaurimento, chassis aperto ...), software (il servizio http è ancora disponibile, qual è il tempo di risposta, quali sono le nostre macchine che utilizzano in risorse, ...)

Quindi, per ciascuna sottocategoria, decidi tu stesso la criticità di ogni evento, tenendo presente: "Quale minaccia questo evento rappresenta per la nostra continuità aziendale". Puoi differenziare con:

• Basso (avviso, ma nessun impatto diretto se il problema aumenta, un errore)
• Medio (avviso, ma ha un impatto se il problema aumenta)
• Alto (Pericolo, il sistema sta per diventare non disponibile)
• Critico (il sistema è inattivo o i sistemi aziendali critici sono prossimi al fallimento)

Per gli eventi di sicurezza questo potrebbe essere lo stesso. Ad esempio, una scansione di una porta esterna potrebbe essere un rischio medio, è necessario un avvertimento, ma probabilmente è solo il rumore di Internet, mentre una scansione delle porte proveniente dalla rete interna è molto più preoccupante.

Ci sono diverse iniziative in cantiere per rendere più facile la definizione da parte delle aziende. Ma tutto dipende dagli individui per definire ciò che è importante per loro.

Alcuni framework includono:

• VERIS
• CSIRT