Questi dati sono utili quando (se) dovresti eseguire una risposta agli incidenti. Si consideri il seguente scenario: "Il dipendente John Doe ha effettuato l'accesso a un sistema in HO e immediatamente dopo la cancellazione dei dati." Il tuo SIEM dovrebbe essere in grado di descrivere cosa è successo:
date: 06/30/16 11:45EST
username jdoe
MAC ADDR 00:00:00:00:00:0a
HOST IP 192.168.1.100
ACCESSED -> This machine, that machine
Questi dati vengono correlati e dovresti essere in grado di determinare chi, cosa, quando, dove e come. Questo è SIEM. Ora immagina lo stesso scenario in cui il nome utente jdoe crea il caos, senza essere nell'edificio. Che cosa è successo, qualcun altro ha usato le sue credenziali, il suo account è stato compromesso. Con PAC inviato a SIEM, l'appliance SIEM dovrebbe essere in grado di correlare tutti gli eventi:
date 06/30/2016 11:45EST
Employee John Doe
Door Front Door East Wing
date: 06/30/16 11:45EST
username jdoe
MAC ADDR 00:00:00:00:00:0a
HOST IP 192.168.1.100
ACCESSED -> This machine, that machine
Da una prospettiva di risposta agli incidenti / analisi forense (DFIR), sei garantito (legalmente in alcuni casi), che hai le informazioni necessarie per agire sulle informazioni. "John Doe dovrebbe essere arrestato / licenziato / ecc. Quando vediamo che ha usato la sua carta per entrare nell'edificio e cancellare i dati" (dati intelligenti raccolti rapidamente) Versus: "John Doe dovrebbe essere arrestato / licenziato / etc da quando ha cancellato i dati. questo tramite il suo login utente. " Potresti aprirti a potenziali legalità. Se ce l'hai, registralo.