Змест[Схаваць][Паказаць]
Унутраныя праблемы могуць узнікнуць у кожнай арганізацыі. Прылады непазбежна ламаюцца, праграмнае забеспячэнне патрабуе абслугоўвання, а рэчы знікаюць.
Прыняцце працэдуры кіравання інцыдэнтамі, якая можа вызначаць прыярытэты праблем, забяспечваць празрыстасць і дапамагаць вашай камандзе аператыўна вырашаць любую праблему, можа дапамагчы вам эфектыўна вырашаць гэтыя і многія іншыя праблемы.
Вы павінны выкарыстоўваць аўтаматызаваную сістэму кіравання інцыдэнтамі, каб зрабіць гэта ў вялікіх маштабах.
У гэтым артыкуле мы падрабязна разгледзім аўтаматызаванае кіраванне інцыдэнтамі, абмяркуем яго мэты і значэнне, разгледзім працэдуру кіравання інцыдэнтамі кібербяспекі і многае іншае.
Спачатку мы пачнем разуменне кіравання інцыдэнтамі і пяройдзем да аўтаматызаванага кіравання інцыдэнтамі.
кіраванне інцыдэнтамі
Рэакцыя на непрадбачанае здарэнне або збой у абслугоўванні і вяртанне сэрвісу ў працоўны стан ажыццяўляецца праз кіраванне інцыдэнтамі. Найважнейшым аспектам кожнай падзеі з'яўляецца яе хуткае вырашэнне, таму вельмі важна кадыфікаваць і прытрымлівацца працэсу.
У працэсе кіравання інцыдэнтамі звычайна ёсць чатыры этапы:
- Прыярытызацыі інцыдэнтаў
- Рэагаванне на інцыдэнт
- Катэгарызацыя інцыдэнтаў
- Ідэнтыфікацыя і рэгістрацыя інцыдэнтаў
Аўтаматызаванае кіраванне інцыдэнтамі
Аўтаматызаванае кіраванне інцыдэнтамі - гэта практыка аўтаматызацыі рэагавання на інцыдэнты, каб пераканацца, што ключавыя выпадкі выяўляюцца і разглядаюцца найбольш эфектыўным і надзейным спосабам.
Калі справа даходзіць да кіравання інцыдэнтамі, час мае важнае значэнне. Такім чынам, хуткасць з'яўляецца галоўнай перавагай аўтаматызаванага кіравання інцыдэнтамі. Працаёмкія заданні можна выканаць значна хутчэй з аўтаматызацыяй.
У выніку час рэагавання на інцыдэнт скарачаецца, і каманда можа свабодна сканцэнтравацца на задачах, якія патрабуюць іх вопыту.
Аўтаматычнае рэагаванне на інцыдэнты
Калі вы чуеце слова «рэагаванне на інцыдэнты», гэта адносіцца да здольнасці арганізацыі выяўляць, расследаваць і ліквідаваць напады і парушэнні.
Чалавечыя кампаненты часта выкарыстоўваліся ў мінулым для маніторынгу дарожнага руху, расследавання падазроных дзеянняў, напісання пратаколаў пры з'яўленні новых небяспек і гэтак далей.
Аднак, як вынікае з назвы, аўтаматызаванае рэагаванне на інцыдэнт выдаляе чалавечы элемент з раўнання.
Ён аўтаматызуе стомныя аперацыі, паскарае выяўленне пагроз і рэагаванне на іх, а таксама забяспечвае кругласутачную абарону, даючы вашай камандзе SOC час і прастору для пашырэння і павышэння вашай бяспекі іншымі спосабамі.
Больш падрабязна пра кіраванне інцыдэнтамі кібербяспекі будзе расказана далей у артыкуле.
Важнасць аўтаматызаванага кіравання інцыдэнтамі
Цяпер агенты могуць больш засяродзіцца на апрацоўцы няшчасных выпадкаў.
Пры апрацоўцы падзей уручную агенты, хутчэй за ўсё, увядуць даныя некалькі разоў і з большай верагоднасцю памыляцца (напрыклад, не змогуць змяніць статус праблемы ў сістэме).
Вашым агентам не трэба будзе пераключацца паміж праграмамі або выконваць аперацыі ўручную, калі яны выкарыстоўваюць аўтаматызаванае рашэнне для кіравання праблемамі.
У якасці альтэрнатывы яны могуць перанакіраваць гэты час на аператыўнае вырашэнне іншых праблем, што значна павысіць задаволенасць кліентаў і персаналу.
Зніжэнне ілжывых спрацоўванняў
Абвесткі адначасова і карысныя, і складаныя ў кіраванні інцыдэнтамі. Ілжывададатныя апавяшчэнні часта ўключаюцца ў лік рэальных і дзейсных папярэджанняў, якія могуць выклікаць у работнікаў стомленасць ад папярэджання, прымушаючы іх здранцвець ад пастаяннага шквалу папярэджанняў.
Аўтаматызаваныя інструменты ацэньваюць папярэджанні і накіроўваюць іх адпаведным членам каманды, эканомячы час і рэсурсы.
Супрацоўнікі могуць выкарыстоўваць яго, каб зручна сачыць за статусам сваіх білетаў.
Большасць вашых супрацоўнікаў жадаюць атрымліваць інфармацыю аб кожнай сваёй праблеме. Аўтаматычнае кіраванне інцыдэнтамі дазволіць вам забяспечыць ім неабходную празрыстасць. як?
У кожны момант жыцця білета, ад моманту яго прызначэння агенту да моманту яго вырашэння, супрацоўнік можа быць папярэджаны праз чат пасля адпраўкі білета.
Супрацоўніку не трэба будзе запытваць у агентаў абнаўленне статусу, і ён заўсёды будзе праінфармаваны без наведвання пэўнай праграмы.
Асноўныя магчымасці аўтаматызаванага кіравання інцыдэнтамі
- Алгарытмы кластарызацыі і ўзгаднення шаблонаў можна выкарыстоўваць для памяншэння шуму, напрыклад, памылковых сігналізацый.
- Распазнайце заканамернасці да таго, як яны акажуць уплыў, які зробіць верагоднымі адключэнні.
- Звярніце ўвагу на шматмерныя адхіленні, якія выходзяць за рамкі статычных парогаў або лікавых выкідаў, каб своечасова выяўляць анамальныя абставіны і паводзіны і звязваць іх з наступствамі для бізнесу.
- Вызначце прычыннасць, вызначце верагодную крыніцу падзей з дапамогай тапалогіі і ML і прывяжыце гэтыя праблемы да шляху кліента з дапамогай дрэў рашэнняў, выпадковых лясоў і аналізу графаў.
- Садзейнічанне аўтаматызацыі руцінных задач з нізкай і сярэдняй рызыкай. Без неабходнасці ствараць злучэнні з іншымі сістэмамі механізм працоўнага працэсу дазваляе вам вырашаць тэрміновыя праблемы, якія знаходзяцца пад вашым кантролем.
- Вызначыць прыярытэт пытанняў і прапанаваць магчымыя рашэнні, непасрэдна або праз інтэграцыю на аснове ранейшага вопыту. Каб пазбегнуць паўторнага ўзнікнення праблем, адсочвайце, з кім звязваліся на працягу ўсёй паслядоўнасці падзей для выпраўлення ў сховішчы.
- Чат-боты і віртуальныя памочнікі падтрымкі (VSA) могуць выкарыстоўвацца для павышэння эфектыўнасці карыстальнікаў і аўтаматызацыі паўтаральных абавязкаў пры дэмакратызацыі доступу да інфармацыі.
Прыклад
Дзве катэгорыі сітуацый, якія найбольш выйграюць ад аўтаматызацыі ў кіраванні інцыдэнтамі, - гэта крытычна важныя і простыя сітуацыі. Тэхнічныя праблемы, якія непасрэдна ўплываюць на кліентаў, з'яўляюцца прыкладам крытычнага часу.
Вы хочаце як мага хутчэй пакласці канец праблеме, калі ваш кліент пацярпеў. Наадварот, такое простае здарэнне, як праблема з падключэннем прынтара, таксама можа быць аўтаматызавана.
TПрацэдура простая, і рашэнне магчыма без удзелу чалавека.
Як аўтаматызаваць працэс кіравання інцыдэнтамі?
1. Стварыце працоўны працэс кіравання інцыдэнтамі.
Каб аўтаматызаваць працэдуру кіравання інцыдэнтамі, вы павінны спачатку распрацаваць працоўны працэс кіравання інцыдэнтамі.
Рабочы працэс інцыдэнту, які часам называюць жыццёвым цыклам падзеі, падрабязна апісвае паслядоўныя этапы, якія адбываюцца пасля здарэння. Асноўныя этапы працоўнага працэсу інцыдэнту наступныя:
- Ідэнтыфікацыя
- прыярэтызацыя
- Адказ
- дазвол
Жыццёвы цыкл кіравання інцыдэнтамі адрозніваецца для кожнага бізнесу і адаптуецца ў адпаведнасці з гэтым.
Сакрэт стварэння эфектыўнага працоўнага працэсу па кіраванні інцыдэнтамі заключаецца ў тым, каб атрымаць інфармацыю ад усіх уцягнутых бакоў, дакументаваць усе дзеянні, якія яны прымаюць, і сабраць усю неабходную інфармацыю.
Верагодна, будзе шмат рознагалоссяў наконт таго, як выконваць задачы і збіраць даныя, але працэс павінен паставіць усё ў перспектыву. Такім чынам, працоўны працэс павінен быць нанесены на борт перад аўтаматызацыяй па гэтай прычыне.
2. Паслядоўнасць у расстаноўцы прыярытэтаў інцыдэнтаў
Аднастайная прыярэтызацыя інцыдэнтаў - наступны этап. Вы павінны ўсведамляць сур'ёзнасць і асноўны крыніца праблемы, каб правільна адрэагаваць. Матрыца прыярытэтаў інцыдэнтаў - звычайны інструмент, які выкарыстоўваецца арганізацыямі.
Матрыца прыярытэту інцыдэнту выкарыстоўвае лікавую шкалу ад P1 да P5 для колькаснай ацэнкі важнасці здарэння і адпаведных дзеянняў.
P1 лічыцца надзвычай важным і патрабуе імгненнай рэакцыі. Праблема сервера, якая можа прывесці да прыпынку ўсёй сістэмы, з'яўляецца ілюстрацыяй з'яўлення P1.
Калі вы рухаецеся ўніз па шкале прыярытэтаў, важнасць/тэрміновасць эпізодаў памяншаецца. Каб стварыць стандарт для здарэнняў P1-P5, арганізацыя паступова збірае дадзеныя аб рызыках, якія можна ацаніць.
Ва ўсіх павінен быць адзіны падыход, і гэта вельмі важна.
3. Аўтаматызаваныя Runbooks
Runbook, часта званыя playbooks, - гэта дапаможнікі, якія апісваюць, як крок за крокам выконваць пэўныя задачы. Падрабязна апісваючы этапы частай дзейнасці, падручнікі прызначаны для зніжэння кагнітыўнай нагрузкі.
Аўтаматызацыя Runbook ідзе яшчэ далей і скарачае працаёмкасць шляхам уключэння праграмнага забеспячэння ў працэс, якое аўтаматычна выконвае крок, калі гэта выклікае пэўныя абставіны.
Runbook не толькі эканоміць час чакання, але таксама стандартызуе і паляпшае паслядоўнасць працэсу.
4. Збор даных для рэтраспектыў
Збор даных - важны этап у кіраванні інцыдэнтамі.
Каманда павінна пераканацца, што дадзеныя ў рэжыме рэальнага часу збіраюцца на працягу ўсяго працэсу кіравання інцыдэнтамі, каб стварыць рэтраспектыву інцыдэнту і паменшыць наступствы інцыдэнту.
Збор даных пачынаецца, як толькі паведамляецца аб здарэнні. Працэсы абвесткі ўстанаўліваюць кантакт з асобамі, неабходнымі для пачатку рэагавання, як толькі падзея ідэнтыфікуецца або выяўляецца з дапамогай тэхналогій маніторынгу.
Тэхналогіі маніторынгу і назіральнасці збіраюць даныя ў працэсе кіравання інцыдэнтамі. Павінен быць магчымы доступ у рэжыме рэальнага часу да дадзеных, што дазволіць вам выкарыстоўваць іх для рэтраспектыўнага аналізу пасля.
5. Інтэграцыя праграмнага забеспячэння іншых вытворцаў у працэс і цэнтралізацыя яго
Вы павінны выступаць у якасці пасярэдніка і ўзаемадзейнічаць са знешнімі сістэмамі, такімі як JIRA і Slack, каб працэс кіравання інцыдэнтамі функцыянаваў належным чынам.
Для пераключэння паміж камунікацыйнымі і іншымі праграмамі патрабуецца час, і ёсць верагоднасць, што вы прапусціце важную інфармацыю.
Дзякуючы збору фонавых даных і аўтаматычнаму абнаўленню выпадкаў аўтаматызаванае рашэнне для кіравання інцыдэнтамі ўпарадкуе працэдуру. У той жа час каманда можа разглядаць справаздачы і дзеянні ў рэжыме рэальнага часу.
Цяпер прыйшоў час разгледзець кіраванне інцыдэнтамі кібербяспекі і лепшыя практыкі.
Кіраванне інцыдэнтамі кібербяспекі
Маніторынг у рэжыме рэальнага часу, адміністраванне, вядзенне часопісаў і аналіз рызык бяспекі або здарэнняў вядомы як кіраванне інцыдэнтамі кібербяспекі. Яго мэта - даць строгі і падрабязны агляд любых рызык бяспекі, якія могуць існаваць у ІТ-сістэме.
Падзея бяспекі можа вар'іравацца ад актыўнай пагрозы, спробы ўварвання, паспяховага пранікнення або ўцечкі даных.
Некаторыя выпадкі праблем з бяспекай ўключаюць парушэнні палітык і незаконны доступ да даных, уключаючы запісы, у тым ліку нумары сацыяльнага страхавання, фінансавую інфармацыю, інфармацыю пра здароўе і асабістую інфармацыю.
Працэс кіравання інцыдэнтамі кібербяспекі
Арганізацыі ўкараняюць палітыку, якая дазваляе ім хутка выяўляць, рэагаваць і змякчаць такія інцыдэнты, умацоўваючы сваю ўстойлівасць і абараняючы ад будучых інцыдэнтаў, паколькі пагрозы кібербяспецы працягваюць павялічвацца ў аб'ёме і складанасці.
Для кіравання інцыдэнтамі бяспекі выкарыстоўваецца камбінацыя апаратнага і праграмнага забеспячэння, а таксама даследаванняў і аналізу, якія кіруюцца чалавекам.
Абвестка аб тым, што адбылася падзея, і актывацыя групы рэагавання на інцыдэнт часта з'яўляюцца першымі крокамі ў працэдуры кіравання інцыдэнтамі бяспекі.
Пасля гэтага спецыялісты па ліквідацыі інцыдэнтаў вывучаць і ацэняць сітуацыю, каб вызначыць яе маштаб, ацаніць шкоду і распрацаваць стратэгію змякчэння наступстваў.
Каб гарантаваць, што ІТ-асяроддзе сапраўды бяспечнае, неабходна распрацаваць шматгранны план кіравання інцыдэнтамі бяспекі.
Лепшыя практыкі кіравання інцыдэнтамі бяспекі
Працэдура кіравання інцыдэнтамі бяспекі павінна быць спланавана арганізацыямі любога памеру і формы. Распрацуйце дбайны план кіравання інцыдэнтамі бяспекі, прымяніўшы наступныя лепшыя практыкі:
- Стварыце шырокую праграму навучання, якая вырашае ўсе задачы, неабходныя для працэсаў кіравання інцыдэнтамі бяспекі. Паслядоўна правярайце свой план кіравання інцыдэнтамі бяспекі праз тэставыя сцэнарыі і ўносіце неабходныя карэктывы.
- Каб вучыцца на сваіх перамогах і памылках пасля любой праблемы бяспекі, правядзіце даследаванне пасля інцыдэнту. Затым пры неабходнасці ўнясіце змены ў праграму бяспекі і працэдуру кіравання інцыдэнтамі.
- Стварыце стратэгію кіравання інцыдэнтамі бяспекі і любыя неабходныя працэдуры, уключаючы інструкцыі аб тым, як выяўляць праблемы, паведамляць пра іх, ацэньваць і вырашаць іх. Падрыхтуйце і падрыхтуйце спіс крокаў у залежнасці ад пагрозы. Пры неабходнасці абнаўляйце палітыку кіравання інцыдэнтамі бяспекі, асабліва ў святле ўрокаў, атрыманых з ранейшых выпадкаў.
- Стварыце групу рэагавання на інцыдэнты з дакладна вызначанымі ролямі і абавязкамі (таксама вядомую як CSIRT). У дадатак да прадстаўніцтва іншых аддзелаў, такіх як юрыдычны аддзел, аддзел сувязі, фінансы і кіраванне бізнесам або аперацый, ваша група рэагавання на інцыдэнты таксама павінна ўключаць у сябе функцыянальныя пасады аддзела ІТ/бяспекі.
заключэнне
Нарэшце, аўтаматызаванае кіраванне інцыдэнтамі гарантуе, што неадкладныя праблемы выяўляюцца, вырашаюцца і вырашаюцца хуткім і эфектыўным чынам.
Аўтаматызацыя дазваляе рашэнням па кіраванні інцыдэнтамі ўзаемадзейнічаць адзін з адным і спрыяе камунікацыі ў рэжыме рэальнага часу ў сістэмах.
Усе аддзелы аб'ядноўваюцца з дапамогай аўтаматызацыі, якая разбівае межы паміж камандамі ІТ-аперацый (ITOPs). Каманды маюць поўны доступ да інфармацыі аб стане інцыдэнтаў, каб гарантаваць, што інцыдэнтамі займаюцца адпаведныя людзі.
Каманды выкарыстоўваюць аўтаматызацыю, каб спрасціць і палепшыць працэс кіравання інцыдэнтамі па меры таго, як ІТ-праблемы становяцца ўсё больш распаўсюджанымі.
Кіраванне інцыдэнтамі ў кантэксце кібербяспекі - гэта працэс вызначэння, кантролю, дакументавання і ацэнкі рызык бяспекі і інцыдэнтаў, звязаных з кібербяспекай у рэальным свеце.
Гэта вельмі важная мера, якую трэба прыняць як пасля, так і да таго, як кіберкрызіс закране ІТ-сістэму.
Пакінуць каментар