Enhavtabelo[Kaŝi][Montri]
- Administrado de Okazaĵoj
- Aŭtomatigita Okazaĵa Administrado
- Aŭtomatigita Okazaĵo-Respondo
- Ŝlosilaj Kapabloj de Aŭtomatigita Okazaĵa Administrado
- ekzemple
- Administrado de Okazaĵoj pri Cibersekureco
- Procezo pri Administrado de Okazaĵoj pri Cibersekureco
- Plej bonaj Praktikoj por Sekureca Okazaĵo-Administrado
- konkludo
Internaj problemoj povas okazi en ĉiu organizo. Estas neeviteble ke aparatoj rompas, ke programaro postulas prizorgadon, kaj aferoj malaperas.
Adopti procedon pri administrado de okazaĵaj, kiu povas prioritatigi problemojn, oferti travideblecon kaj helpi vian teamon rapide trakti ajnan problemon, povas helpi vin efike trakti ĉi tiujn zorgojn kaj multajn pli.
Vi devas uzi aŭtomatan okazaĵan administradsistemon por fari tion grandskale.
En ĉi tiu artikolo, ni detale rigardos aŭtomatan administradon de incidentoj, diskutos ĝiajn celojn kaj signifon, ekzamenos la proceduron por administri cibersekurecajn okazaĵojn, kaj multe pli.
Unue, ni komencos kompreni okazaĵadministradon kaj moviĝos plu al aŭtomatigita okazaĵadministrado.
Administrado de Okazaĵoj
Respondo al neantaŭvidita okazo aŭ interrompo de la servo kaj reveno de la servo al ĝia funkcia kondiĉo estas pritraktitaj per okazaĵadministrado. La plej decida aspekto de ĉiu evento estas ĝia rapida rezolucio, tial estas grave kodi kaj sekvi procezon.
En la okazaĵa administradprocezo, ekzistas tipe kvar ŝtupoj:
- Incidento prioritato
- Okazaĵrespondo
- Okazaĵkategoriado
- Identigo kaj registrado de incidentoj
Aŭtomatigita Okazaĵa Administrado
Aŭtomatigita okazaĵadministrado estas la praktiko de aŭtomatigi okazaĵrespondon por certigi ke ŝlosilaj okazoj estas identigitaj kaj traktitaj laŭ la plej efika kaj fidinda maniero ebla.
Tempo gravas kiam temas pri administrado de incidentoj. Tial rapideco estas la ĉefa avantaĝo de aŭtomatigita okazaĵadministrado. Tempopostulaj laboroj povas esti finitaj konsiderinde pli rapide kun aŭtomatigo.
Kiel rezulto, la okazaĵa respondtempo estas mallongigita kaj la teamo estas libera koncentriĝi pri taskoj kiuj postulas sian kompetentecon.
Aŭtomatigita Okazaĵo-Respondo
Kiam vi aŭdas la vorton "Okazaĵo-Respondo", ĝi rilatas al la kapablo de organizo detekti, esplori kaj mildigi atakojn kaj malobservojn.
Homaj komponantoj estis ofte uzataj en la pasinteco por kontroli trafikon, esplori ŝajnajn agadojn, verki protokolojn kiam aperas novaj danĝeroj, ktp.
Tamen, kiel la nomo implicas, aŭtomatigita okazaĵrespondo forigas la homan elementon de la ekvacio.
Ĝi aŭtomatigas tedigajn operaciojn, akcelas minaco-detekton kaj respondon, kaj provizas daŭran defendon, donante al via SOC-teamo tempon kaj spacon por pligrandigi kaj plibonigi vian sekurecan pozicion alimaniere.
Pli pri cibersekureca okazaĵadministrado estos kovritaj pli sube en la artikolo.
Graveco de Aŭtomatigita Okazaĵa Administrado
Agentoj nun povas koncentriĝi pli pri pritraktado de akcidentoj.
Dum traktado de okazaĵoj permane, agentoj pli ol unufoje enmetas datumojn kaj pli verŝajne faras erarojn (kiel ekzemple malsukcesi ŝanĝi la statuson de problemo en sistemo).
Viaj agentoj ne devos ŝanĝi inter aplikaĵoj aŭ plenumi manajn operaciojn se ili uzas aŭtomatan problemo-administran solvon.
Kiel alternativo, ili povas redirekti tiun tempon por senprokraste trakti pli da aferoj, kio multe altigus klientan kaj dungitan kontenton.
Malpliiĝis falsaj pozitivoj
Atentigoj estas kaj helpemaj kaj problemaj en okazaĵadministrado. Fals-pozitivaj sciigoj estas ofte inkluzivitaj inter faktaj kaj ageblaj atentigoj, kiuj povas kaŭzi garde lacecon en laboristoj igante ilin senĝena al la konstanta bombardo de alarmoj.
Aŭtomatigitaj iloj taksas avertojn kaj direktas ilin al la taŭgaj grupanoj, ŝparante tempon kaj rimedojn.
Dungitoj povas uzi ĝin por oportune sekvi la staton de siaj biletoj.
Plej multaj el viaj dungitoj volas esti informitaj pri ĉiu zorgo, kiun ili prezentas. Aŭtomatigita okazaĵa administrado ebligos al vi provizi al ili la travideblecon, kiun ili postulas. Kiel?
Je ĉiu punkto de la vivdaŭro de la bileto, de kiam ĝi estas asignita al agento ĝis kiam ĝi estas solvita, dungito povas esti avertita per babilejo post sendado de bileto.
La dungito ne devos peti agentojn pri statusa ĝisdatigo kaj ĉiam estos informita sen devi viziti specifan aplikaĵon.
Ŝlosilaj Kapabloj de Aŭtomatigita Okazaĵa Administrado
- Clustering kaj padronkongruaj algoritmoj povas esti uzitaj por redukti bruon, kiel ekzemple eraraj alarmoj.
- Rekonu ŝablonojn antaŭ ol ili havas efikon, kiu igas verŝajnajn malfunkciojn.
- Notu plurvariajn anomaliojn, kiuj iras preter senmovaj sojloj aŭ nombraj eksteruloj por iniciateme identigi anomaliajn cirkonstancojn kaj kondutojn kaj ligi ilin al komercaj sekvoj.
- Difinu kaŭzecon, identigu la verŝajnan fonton de eventoj uzante topologion kaj ML, kaj ligu ĉi tiujn problemojn al klienta vojaĝo uzante decidajn arbojn, hazardajn arbarojn kaj grafikan analizon.
- Antaŭenigu la aŭtomatigon de rutinaj, malaltaj ĝis modere-riskaj taskoj. Sen bezoni krei ligojn al aliaj sistemoj, laborflumotoro permesas vin trakti la problemojn, kiuj estas urĝaj kaj sub via kontrolo.
- Determinu la prioritaton de aferoj kaj sugestu eblajn solvojn, ĉu rekte aŭ per integriĝo bazita sur pli fruaj spertoj. Por eviti ke problemoj ripetiĝu, konservu trakon de kiu estis kontaktita dum la tuta sinsekvo de eventoj por solvado en deponejo.
- Babilrotoj kaj virtualaj subtenaj asistantoj (VSA) povas esti uzataj por pliigi uzantan efikecon kaj aŭtomatigi ripetajn taskojn dum demokratiigo de aliro al informoj.
ekzemple
La du kategorioj da situacioj, kiuj plej profitas el aŭtomatigo en okazaĵadministrado, estas tiuj, kiuj estas tempkritikaj kaj simplaj. Teknikaj problemoj kiuj rekte influas klientojn estas ekzemplo de tempo-kritika okazo.
Vi volas ĉesigi la problemon kiel eble plej baldaŭ se via kliento estas tuŝita. Male, simpla okazo kiel presila konekteblecproblemo ankaŭ povas esti aŭtomatigita.
Tli procedo estas simpla, kaj rezolucio eblas sen la implikiĝo de persono.
Kiel aŭtomatigi vian incidentan administradprocezon?
1. Establi okazaĵan administradon.
Por aŭtomatigi vian proceduron pri administrado de incidentoj, vi unue devas desegni laborfluon pri administrado de incidentoj.
La okazaĵa laborfluo, foje referita kiel la okazaĵa vivociklo, detaligas la sinsekvajn paŝojn kiuj okazas post okazo. La ĉefaj paŝoj de okazaĵa laborfluo estas jenaj:
- identigo
- Priorizado
- respondo
- distingivo
La okazaĵa administrada vivociklo estas aparta por ĉiu komerco kaj estas adaptita laŭ tio.
La sekreto por krei efikan okazaĵan administran laborfluon estas ricevi kontribuon de ĉiuj implikitaj partioj, dokumenti ĉiujn agojn, kiujn ili faras, kaj kolekti ĉiujn necesajn informojn.
Verŝajne estos multe da malkonsento pri kiel plenumi taskojn kaj kolekti datumojn, sed la procezo devas meti ĉion en perspektivon. La laborfluo devus tiel esti mapita surŝipe antaŭ esti aŭtomatigita pro tio.
2. Konsistenco en Incident Prioritatigo
Unuforme prioritatigi okazaĵojn estas la sekva etapo. Vi devas konscii pri la graveco kaj suba fonto de la problemo por ĝuste reagi. Okazaĵa prioritatmatrico estas ofta ilo uzita fare de organizoj.
Okazaĵa prioritatmatrico utiligas P1 ĝis P5 nombran skalon por kvantigi la gravecon de okazo kaj la konvenan agon.
La P1 estas rigardata kiel plej grava kaj postulas tujan reagon. Servila problemo, kiu povus haltigi la tutan sistemon, estas ilustraĵo de P1-okazaĵo.
Dum vi malsupreniras la prioritatskalon, la graveco/urĝo de la epizodoj malpliiĝas. Por krei la normon por P1 ĝis P5-okazoj, la organizo iom post iom kolektas riskajn datumojn, kiuj povas esti taksitaj.
Ĉiuj devas konsenti pri la aliro, kaj ĉi tio estas decida.
3. Aŭtomatigitaj Runbooks
Runbooks, ofte nomataj ludlibroj, estas manlibroj, kiuj priskribas kiel plenumi iujn taskojn paŝo post paŝo. Detale fiksante la paŝojn por oftaj agadoj, ludlibroj estas dizajnitaj por redukti kognan ŝarĝon.
Runbook-aŭtomatigo iras paŝon plu kaj reduktas laboron enkorpigante programaron en la procezon, kiu efektivigas la paŝon aŭtomate kiam instigite de certa cirkonstanco.
Runbooks ne nur ŝparas atendan tempon, sed ankaŭ normigas kaj plibonigas la konsistencon de la procezo.
4. Datenkolektado por Retrospektivoj
Datenkolektado estas grava etapo en okazaĵadministrado.
La teamo devas certigi, ke realtempaj datumoj estas kolektitaj dum la okazaĵa administradprocezo por krei okazaĵretrospektivojn kaj malpliigi la efikon de la okazaĵo antaŭen.
Datenkolektado komenciĝas tuj kiam okazo estas raportita. Avertigaj procezoj kontaktas la personojn bezonatajn por komenci respondi tuj kiam evento estas identigita aŭ detektita per monitorado de teknologioj.
La monitoraj kaj observablecaj teknologioj kolektas datumojn dum la okazaĵa administradprocezo. Realtempa aliro al la datumoj devus esti ebla, permesante al vi uzi ĝin por retrospektivaj analizoj poste.
5. Integri trian programon en la procezon kaj centralizu ĝin
Vi devas agi kiel peranto kaj interfaco kun eksteraj sistemoj kiel JIRA kaj Slack, por ke la okazaĵa administradprocezo funkciu ĝuste.
Necesas tempo, kaj estas ŝanco, ke vi povas maltrafi gravajn informojn, por ŝanĝi inter komunikado kaj aliaj programoj.
Per fona datumkolektado kaj aŭtomata ĝisdatigo de okazoj, aŭtomatigita okazaĵadministra solvo plifaciligos la proceduron. Dume, la teamo povas ekzameni raportojn kaj agadojn en reala tempo.
Nun estas tempo rigardi cibersekurecan okazaĵadministradon kaj ĝiajn plej bonajn praktikojn.
Administrado de Okazaĵoj pri Cibersekureco
Realtempa monitorado, administrado, arbodehakado kaj analizo de sekurecaj riskoj aŭ okazoj estas konataj kiel cibersekureca okazaĵadministrado. Ĝi celas provizi rigoran kaj ĝisfundan superrigardon de iuj sekurecaj riskoj, kiuj povus ekzisti ene de IT-sistemo.
Sekureca evento povus varii de aktiva minaco, provo de trudeniro, sukcesa penetrado aŭ datumfluo.
Kelkaj kazoj de sekurecproblemoj inkluzivas politikajn malobservojn kaj kontraŭleĝan aliron al datumoj, inkluzive de registroj inkluzive de socialasekuraj numeroj, financaj informoj, saninformoj kaj persone identigeblaj informoj.
Procezo pri Administrado de Okazaĵoj pri Cibersekureco
Organizoj efektivigas politikojn, kiuj ebligas ilin rapide identigi, respondi kaj mildigi ĉi tiujn specojn de eventoj, plifortigante sian fortikecon kaj protektante kontraŭ estontaj okazaĵoj, ĉar cibersekurecaj minacoj daŭre pliiĝas en volumeno kaj sofistikeco.
Por administri sekurecajn okazaĵojn, kombinaĵo de aparataro, programaro kaj hom-movita esplorado kaj analizo estas uzata.
La atentigo, ke evento okazis kaj la aktivigo de la okazaĵa responda teamo ofte estas la unuaj paŝoj en la proceduro pri administrado de sekurecaj incidentoj.
Post tio, okazaĵrespondantoj rigardos kaj taksos la situacion por konstati ĝian larĝon, mezuri damaĝojn kaj krei mildigan strategion.
Por garantii ke la IT-medio estas efektive sekura, multfaceta plano por sekureca okazaĵadministrado devas esti efektivigita.
Plej bonaj Praktikoj por Sekureca Okazaĵo-Administrado
La proceduro pri administrado de sekurecaj okazaĵoj devas esti planita de organizoj de ĉiuj grandecoj kaj formoj. Disvolvu ĝisfundan planon pri administrado de sekurecaj incidentoj praktikante ĉi tiujn plej bonajn praktikojn:
- Kreu ampleksan trejnan programon, kiu traktas ĉiun taskon postulatan de la sekurecaj okazaĵaj administradprocezoj. Konstante metu vian sekurecan incidentan administradon per provaj scenaroj kaj faru ajnajn necesajn ĝustigojn.
- Por lerni de viaj triumfoj kaj eraroj post iu ajn sekureca problemo, faru post-okazan studon. Poste, laŭbezone, ŝanĝu vian sekurecan programon kaj proceduron pri administrado de incidentoj.
- Kreu strategion pri administrado de sekurecaj okazaĵoj kaj iujn ajn necesajn procedurojn, inkluzive de instrukcioj pri kiel aferoj devas esti trovitaj, raportitaj, taksitaj kaj pritraktitaj. Preparu liston de paŝoj laŭ la minaco kaj disponigu ĝin. Ĝisdatigu sekurecajn mastrumajn politikojn laŭbezone, precipe laŭ la lecionoj akiritaj de pli fruaj okazoj.
- Kreu okazaĵan respondteamon kun klare difinitaj roloj kaj devoj (ankaŭ konata kiel CSIRT). Krom reprezentado de aliaj fakoj kiel jura, komunikado, financo kaj komerca administrado aŭ operacioj, via okazaĵa responda teamo ankaŭ devus inkluzivi funkciajn poziciojn de la IT/sekureca fako.
konkludo
Finfine, aŭtomatigita okazaĵadministrado certigas, ke urĝaj aferoj estas identigitaj, pritraktataj kaj traktataj en rapida kaj efika maniero.
Aŭtomatigo ebligas ke okazaĵadministradsolvoj interagas unu kun la alia kaj antaŭenigas realtempan komunikadon tra la sistemoj.
Ĉiuj fakoj estas kunigitaj per aŭtomatigo, kiu malkonstruas limojn inter IT-operacioj (ITOps) teamoj. Teamoj havas kompletan aliron al incidentaj statusaj informoj por certigi, ke la taŭgaj homoj traktas okazaĵojn.
Teamoj uzas aŭtomatigon por simpligi kaj plibonigi la okazaĵan administradprocezon kiam IT-problemoj kreskas pli ĝeneralaj.
Okazaĵadministrado en la kunteksto de cibersekureco estas la procezo de lokalizado, kontrolado, dokumentado kaj taksado de sekurecaj riskoj kaj okazaĵoj ligitaj al cibersekureco en la reala mondo.
Ĉi tio estas decida mezuro por preni kaj post kaj antaŭ ol ciberkrizo trafas IT-sistemon.
Lasi Respondon