SIEMでログメッセージの重大度を分類する際のベストプラクティス
SIEMソリューションを展開する場合、個々のデバイスから送信される各イベントの重大度を分類する際のベストプラクティスは何ですか?
これは少し主観的であり、組織の監視目的によっては異なる場合があることを理解していますが、メッセージの重大度を分類する方法の開始点または一般的な方法はありますか?
これは完全にあなたの目標が何であるかに依存します。通常、ビジネス継続性の脅威に基づいて重大度を分類する必要があります。まず、タイプごとに分類し、サブカテゴリ化します。
セキュリティイベント=>外部、内部
可用性=>ハードウェア(ディスクアレイ、バッテリーの劣化、シャーシのオープン...)、ソフトウェア(httpサービスは引き続き利用可能ですか、応答時間はどれくらいですか、リソースで使用しているマシンは何ですか...)
次に、サブカテゴリごとに、「このイベントがビジネス継続性にどのような脅威をもたらすか」を念頭に置いて、各イベントの重要度を自分で決定します。次のように区別できます。
- 低(警告、ただし問題が増加しても直接的な影響はなく、失敗)
- 中(警告ですが、問題が増えると影響があります)
- 高(危険、システムが利用できなくなりそうです)
- クリティカル(システムがダウンしているか、ビジネスクリティカルなシステムがほぼ故障している)
セキュリティイベントの場合、これは同じである可能性があります。たとえば、外部ポートスキャンは中程度のリスクである可能性があり、警告が必要ですが、おそらくインターネットノイズである可能性がありますが、内部ネットワークからのポートスキャンははるかに心配です。
これを企業が定義しやすくするための取り組みには、いくつかのイニシアチブがあります。しかし、何が彼らにとって重要であるかを定義することはすべて個人に依存します。
いくつかのフレームワークは次のとおりです。