Мазмуну[Жашыруу][Көрсөтүү]
- Окуяларды башкаруу
- Автоматташтырылган инциденттерди башкаруу
- Автоматташтырылган окуяга жооп берүү
- Автоматташтырылган инциденттерди башкаруунун негизги мүмкүнчүлүктөрү
- мисал
- Киберкоопсуздук инциденттерин башкаруу
- Киберкоопсуздук инциденттерин башкаруу процесси
- Коопсуздук инциденттерин башкаруу боюнча мыкты тажрыйбалар
- жыйынтыктоо
Ички маселелер ар бир уюмда болушу мүмкүн. Түзмөктөрдүн бузулушу, программалык камсыздоонун техникалык тейлөөнү талап кылышы жана нерселер жок болуп кетиши сөзсүз болот.
Көйгөйлөрдү биринчи орунга коюп, ачык-айкындуулукту сунуштай турган жана командаңызга кандайдыр бир көйгөйдү тез арада чечүүгө жардам бере турган инциденттерди башкаруу процедурасын кабыл алуу ушул жана башка көптөгөн көйгөйлөрдү натыйжалуу чечүүгө жардам берет.
Муну масштабдуу түрдө аткаруу үчүн инциденттерди башкаруунун автоматташтырылган системасын колдонушуңуз керек.
Бул макалада биз инциденттерди автоматташтырылган башкарууну кеңири карап чыгабыз, анын максаттарын жана маанисин талкуулайбыз, киберкоопсуздук инциденттерин башкаруунун жол-жобосун жана башка көптөгөн нерселерди карап чыгабыз.
Биринчиден, биз инциденттерди башкарууну түшүнө баштайбыз жана инциденттерди автоматташтырылган башкарууга өтөбүз.
Окуяларды башкаруу
Күтүлбөгөн окуяга же кызматтын үзгүлтүккө учурашына жооп кайтаруу жана кызматтын иштөө абалына кайтаруу инциденттерди башкаруу аркылуу ишке ашырылат. Ар бир окуянын эң маанилүү аспектиси - бул анын тез чечилиши, ошондуктан процессти кодификациялоо жана аны ээрчүү абдан маанилүү.
Окуяны башкаруу процессинде, адатта, төрт кадам бар:
- Окуяга артыкчылык берүү
- Окуяга жооп берүү
- Окуянын категориясы
- Окуяны аныктоо жана каттоо
Автоматташтырылган инциденттерди башкаруу
Автоматташтырылган инциденттерди башкаруу - бул инциденттерге жооп кайтарууну автоматташтыруу практикасы, негизги окуялар мүмкүн болушунча натыйжалуу жана ишенимдүү түрдө аныкталган жана алар менен күрөшүү.
Окуяларды башкарууга келгенде убакыт маанилүү. Демек, ылдамдык инциденттерди башкаруунун автоматташтырылган негизги артыкчылыгы болуп саналат. Убакытты талап кылган жумуштарды автоматташтыруу менен тезирээк бүтүрсө болот.
Натыйжада, инцидентке жооп берүү убактысы кыскарып, команда өз тажрыйбасын талап кылган милдеттерге көңүлүн эркин топтой алат.
Автоматташтырылган окуяга жооп берүү
"Инцидентке жооп берүү" деген сөздү укканда, ал уюмдун кол салууларды жана бузууларды аныктоо, иликтөө жана азайтуу мүмкүнчүлүгүн билдирет.
Мурда адам компоненттери трафикти көзөмөлдөө, шектүү аракеттерди иликтөө, жаңы коркунучтар пайда болгондо протоколдорду жазуу ж.б.у.с. үчүн көп колдонулган.
Бирок, аты айтып тургандай, инцидентке автоматташтырылган жооп теңдемеден адам элементин алып салат.
Ал тажатма операцияларды автоматташтырат, коркунучтарды аныктоону жана жооп кайтарууну тездетет жана күнү-түнү коргонууну камсыздайт, бул сиздин SOC командасына коопсуздук абалыңызды башка жолдор менен кеңейтүү жана жакшыртуу үчүн убакыт жана мейкиндик берет.
Киберкоопсуздук инциденттерин башкаруу жөнүндө көбүрөөк маалымат макалада каралат.
Автоматташтырылган инциденттерди башкаруунун мааниси
Агенттер эми кырсыктарды чечүүгө көбүрөөк көңүл бура алышат.
Окуяларды кол менен иштетүүдө агенттер маалыматтарды бир нече жолу киргизип, ката кетириши ыктымал (мисалы, системадагы маселенин статусун өзгөртө албаган).
Эгер алар автоматташтырылган маселени башкаруу чечимин колдонушса, агенттериңиз колдонмолордун ортосунда которушунун же кол менен иштөөнүн кереги жок болот.
Альтернатива катары, алар ошол убакытты тез арада көбүрөөк маселелерди чечүү үчүн багыттай алышат, бул кардарлардын жана кызматкерлердин канааттануусун жогорулатат.
Жалган позитивдер азайды
Эскертүүлөр инциденттерди башкарууда пайдалуу жана көйгөйлүү болуп саналат. Жалган позитивдүү билдирүүлөр көп учурда иш жүзүндөгү жана ишке ашырылуучу эскертүүлөрдүн катарына киргизилет, алар эскертүүлөрдүн тынымсыз тосмолорунан улам жумушчулардын сергек чарчоосуна алып келиши мүмкүн.
Автоматташтырылган инструменттер эскертүүлөрдү баалайт жана аларды тиешелүү команда мүчөлөрүнө багыттап, убакытты жана ресурстарды үнөмдөйт.
Кызматкерлер аны билеттеринин абалына көз салуу үчүн колдоно алышат.
Кызматкерлериңиздин көбү алар көрсөткөн ар бир тынчсыздануу жөнүндө кабардар болууну каалашат. Автоматташтырылган инциденттерди башкаруу аларга талап кылынган ачык-айкындуулукту камсыз кылууга мүмкүндүк берет. Кантип?
Билеттин иштөө мөөнөтүнүн ар бир этабында, ал агентке дайындалгандан баштап, ал чечилгенге чейин, кызматкер билет тапшыргандан кийин чат аркылуу эскертилиши мүмкүн.
Кызматкер агенттерден статусун жаңыртуу үчүн сурабашы керек жана белгилүү бир тиркемеге кирбестен ар дайым кабардар болуп турат.
Автоматташтырылган инциденттерди башкаруунун негизги мүмкүнчүлүктөрү
- Кластерлөө жана үлгү дал келүү алгоритмдери ызы-чууларды, мисалы, ката сигнализацияларды азайтуу үчүн колдонулушу мүмкүн.
- Үлгүлөрдү алар үзгүлтүккө учураган таасир тийгизерден мурун таанып алыңыз.
- Аномалдуу жагдайларды жана жүрүм-турумду проактивдүү аныктоо жана аларды бизнестин кесепеттери менен байланыштыруу үчүн статикалык босогодон же сандык чектен ашкан көп өзгөрмөлүү аномалияларга көңүл буруңуз.
- Себептүүлүк байланышты аныктаңыз, топологияны жана MLди колдонуу менен окуялардын мүмкүн болгон булагын аныктаңыз жана бул көйгөйлөрдү чечим дарактарын, кокус токойлорду жана графикалык анализди колдонуу менен кардар сапарына байлаңыз.
- Күнүмдүк, аз жана орточо коркунучтуу милдеттерди автоматташтырууга көмөктөшүү. Башка системалар менен байланыштарды түзүүнүн кереги жок, иш процессинин кыймылдаткычы шашылыш жана сиздин көзөмөлүңүздөгү маселелерди чечүүгө мүмкүндүк берет.
- Маселелердин приоритеттүүлүгүн аныктаңыз жана мүмкүн болгон чечимдерди түз же мурунку тажрыйбанын негизинде интеграциялоо аркылуу сунуштаңыз. Көйгөйлөр кайталанбашы үчүн, репозиторийде оңдоо үчүн окуялардын бардык ырааттуулугу учурунда ким менен байланышканын көзөмөлдөңүз.
- Чатботтор жана виртуалдык колдоо жардамчылары (VSAs) колдонуучунун натыйжалуулугун жогорулатуу жана маалыматка жетүүнү демократиялаштыруу менен бирге кайталануучу жумуштарды автоматташтыруу үчүн колдонулушу мүмкүн.
мисал
Инциденттерди башкарууда автоматташтыруудан эң көп пайда алган эки категориядагы жагдайлар - бул убакыт-критикалык жана жөнөкөй болгондор. Кардарларга түздөн-түз таасир эткен техникалык көйгөйлөр убакыттын критикалык көрүнүшүнүн мисалы болуп саналат.
Эгер кардарыңыз жабыркаса, көйгөйдү мүмкүн болушунча тезирээк токтоткуңуз келет. Тескерисинче, принтердин туташуу көйгөйү сыяктуу жөнөкөй көрүнүш да автоматташтырылышы мүмкүн.
Tал жол-жобосу жөнөкөй, жана чечим адамдын катышуусуз эле мүмкүн.
Окуяларды башкаруу процессин кантип автоматташтыруу керек?
1. Окуяларды башкаруунун иш процессин түзүү.
Окуяларды башкаруу процедураңызды автоматташтыруу үчүн, адегенде инциденттерди башкаруунун иш процессин иштеп чыгышыңыз керек.
Окуянын иштөө процесси, кээде окуянын жашоо цикли деп аталат, окуядан кийин орун алган ырааттуу кадамдарды деталдаштырат. Окуянын иш процессинин негизги кадамдары төмөнкүлөр:
- аныктоо
- Артыкчылыктар
- жооп
- чечим
Окуяларды башкаруунун жашоо цикли ар бир бизнес үчүн өзүнчө жана ошого ылайыкташтырылган.
Натыйжалуу инциденттерди башкаруунун иш агымын түзүүнүн сыры - бардык катышкан тараптардын салымын алуу, алар жасаган бардык иш-аракеттерди документтештирүү жана талап кылынган бардык маалыматты чогултуу.
Тапшырмаларды кантип аткаруу жана маалыматтарды чогултуу боюнча пикир келишпестиктер көп болушу мүмкүн, бирок процесс бардыгын перспективага салуу керек. Ошентип, иш процесси ушул себептен автоматташтырылаардан мурун борттун картасын түзүшү керек.
2. Окуяларга артыкчылык берүүдөгү ырааттуулук
Инциденттерге бирдей артыкчылык берүү - кийинки этап. Туура жооп кайтаруу үчүн көйгөйдүн оордугун жана негизги булагын билишиңиз керек. Окуяга артыкчылык берүү матрицасы уюмдар тарабынан колдонулган жалпы курал болуп саналат.
Окуянын приоритеттүү матрицасында окуянын маанилүүлүгүн жана тиешелүү аракетти сандык баалоо үчүн P1ден P5ке чейинки сандык шкала колдонулат.
P1 абдан маанилүү болуп эсептелет жана тез арада реакцияны талап кылат. Бүтүндөй системанын токтоп калышына алып келиши мүмкүн болгон сервер көйгөйү P1 окуясынын мисалы болуп саналат.
Приоритеттик шкаладан ылдый жылган сайын эпизоддордун маанилүүлүгү/шашылыш азаят. P1ден P5ке чейинки көрүнүштөрдүн стандартын түзүү үчүн уюм акырындык менен баалана турган тобокелдик маалыматтарын чогултат.
Ар бир адам мамилеге макул болушу керек жана бул өтө маанилүү.
3. Автоматташтырылган Runbooks
Runbooks, көбүнчө оюн китептери деп аталат, бул айрым тапшырмаларды этап-этабы менен кантип аткарууну сүрөттөгөн колдонмолор. Тез-тезден жасалган иш-аракеттердин кадамдарын майда-чүйдөсүнө чейин белгилеп, оюн китептери когнитивдик жүктү азайтуу үчүн иштелип чыккан.
Runbook автоматташтыруу бир кадам алдыга барат жана белгилүү бир жагдайдан улам кадамды автоматтык түрдө аткарган процесске программалык камсыздоону киргизүү менен эмгекти азайтат.
Runbooks күтүү убактысын үнөмдөп гана тим болбостон, процесстин ырааттуулугун стандартташтырат жана жакшыртат.
4. Ретроспективалар үчүн маалыматтарды чогултуу
Маалыматтарды чогултуу инциденттерди башкаруудагы маанилүү этап болуп саналат.
Команда инциденттин ретроспективасын түзүү жана инциденттин келечектеги таасирин азайтуу үчүн инциденттерди башкаруу процессинде реалдуу убакыттагы маалыматтар чогултулуп жаткандыгына ынанышы керек.
Маалыматтарды чогултуу окуя тууралуу кабарлангандан кийин башталат. Эскертүү процесстери окуя аныкталганда же мониторинг технологиялары тарабынан аныкталгандан кийин жооп берүүнү баштоо үчүн зарыл болгон адамдар менен байланыш түзүшөт.
Мониторинг жана байкоо технологиялары инциденттерди башкаруу процессинде маалыматтарды чогултууда. Маалыматтарга реалдуу убакыт режиминде кирүү мүмкүн болушу керек, бул кийин аны ретроспективдүү талдоо үчүн колдонууга мүмкүндүк берет.
5. Үчүнчү тараптын программалык камсыздоосун процесске интеграциялоо жана аны борборлоштуруу
Окуяларды башкаруу процесси туура иштеши үчүн сиз JIRA жана Slack сыяктуу тышкы системалар менен ортомчу жана интерфейс катары иштешиңиз керек.
Бул убакытты талап кылат жана байланыш жана башка программаларды алмаштыруу үчүн маанилүү маалыматты өткөрүп жиберүү мүмкүнчүлүгүңүз бар.
Фондук маалыматтарды чогултуу жана окуяларды автоматтык түрдө жаңыртуу аркылуу инциденттерди башкаруунун автоматташтырылган чечими процедураны тартипке келтирет. Ошол эле учурда, команда реалдуу убакытта отчетторду жана иш-аракеттерди текшере алат.
Эми киберкоопсуздук боюнча инциденттерди башкарууну жана анын мыкты тажрыйбаларын карап чыгууга убакыт келди.
Киберкоопсуздук инциденттерин башкаруу
Реалдуу убакытта мониторинг жүргүзүү, башкаруу, каттоо жана коопсуздук тобокелдиктерин же окуяларды талдоо киберкоопсуздук инциденттерин башкаруу деп аталат. Ал IT тутумунун ичинде болушу мүмкүн болгон бардык коопсуздук тобокелдиктерин кылдат жана кылдат карап чыгууну көздөйт.
Коопсуздук окуясы жигердүү коркунучтан, басып кирүүгө аракет кылуудан, ийгиликтүү кириштен же маалыматтардын агып кетишинен болушу мүмкүн.
Коопсуздук көйгөйлөрүнүн бир нече учурларына саясаттын бузулушу жана маалыматтарга мыйзамсыз кирүү кирет, анын ичинде жазуулар, анын ичинде социалдык камсыздандыруу номерлери, каржылык маалымат, ден соолук маалыматы жана инсанды аныктоочу маалымат.
Киберкоопсуздук инциденттерин башкаруу процесси
Уюмдар киберкоопсуздук коркунучтарынын көлөмү жана татаалдыгы көбөйүп жаткандыктан, алардын туруктуулугун бекемдөө жана келечектеги инциденттерден коргоону күчөтүү менен, мындай инциденттерди тез аныктоого, аларга жооп кайтарууга жана жумшартууга мүмкүндүк берген саясатты ишке ашырууда.
Коопсуздук инциденттерин башкаруу үчүн аппараттык, программалык камсыздоо жана адам башкарган изилдөө жана анализдин айкалышы колдонулат.
Окуя болгондугу жөнүндө эскертүү жана инцидентке жооп берүү тобун активдештирүү көбүнчө коопсуздук инциденттерин башкаруу процедурасынын алгачкы кадамдары болуп саналат.
Андан кийин, окуяга жооп берүүчүлөр кырдаалды карап чыгып, анын кеңдигин аныктоо, келтирилген зыянды өлчөө жана кесепеттерди азайтуу стратегиясын түзүшөт.
IT чөйрөсү чындап эле коопсуз экендигине кепилдик берүү үчүн коопсуздук инциденттерин башкаруу боюнча көп кырдуу план ишке ашырылышы керек.
Коопсуздук инциденттерин башкаруу боюнча мыкты тажрыйбалар
Коопсуздук инциденттерин башкаруу процедурасы бардык өлчөмдөгү жана формадагы уюмдар тарабынан пландаштырылышы керек. Бул мыкты тажрыйбаларды иш жүзүндө колдонуу менен коопсуздук инциденттерин башкаруунун кылдат планын иштеп чыгуу:
- Коопсуздук инциденттерин башкаруу процесстери талап кылган ар бир тапшырманы чечүүчү кеңири окутуу программасын түзүңүз. Тест сценарийлери аркылуу коопсуздук инциденттерин башкаруу планын ырааттуу түрдө киргизип, керектүү оңдоолорду киргизиңиз.
- Кандайдыр бир коопсуздук маселесинен кийин жеңиштериңизден жана каталарыңыздан сабак алуу үчүн окуядан кийинки изилдөө жүргүзүңүз. Андан кийин, зарыл болсо, коопсуздук программаңызга жана инциденттерди башкаруу процедурасына өзгөртүүлөрдү киргизиңиз.
- Коопсуздук инциденттерин башкаруу стратегиясын жана бардык зарыл процедураларды, анын ичинде маселелерди кантип табуу, кабарлоо, баалоо жана чечүү керектиги боюнча нускамаларды түзүңүз. Коркунучка жараша кадамдардын тизмесин даярдап, аны жеткиликтүү болуңуз. Коопсуздук инциденттерин башкаруу саясаттарын зарылчылыкка жараша жаңыртыңыз, айрыкча мурунку окуялардан алынган сабактарды эске алуу менен.
- Так аныкталган ролдору жана милдеттери бар инциденттерге жооп берүү тобун түзүңүз (CSIRT катары да белгилүү). Юридикалык, байланыш, каржы жана бизнести башкаруу же операциялар сыяктуу башка бөлүмдөрдүн өкүлчүлүгүнөн тышкары, инцидентке жооп берүү тобуңуз IT/коопсуздук департаментинин функционалдык кызматтарын да камтышы керек.
жыйынтыктоо
Акыр-аягы, автоматташтырылган инциденттерди башкаруу шашылыш маселелерди тез жана натыйжалуу түрдө аныктап, аларга көңүл буруп, чечүүнү камсыздайт.
Автоматташтыруу инциденттерди башкаруу чечимдеринин бири-бири менен өз ара аракеттенүүсүнө мүмкүндүк берет жана системалар боюнча реалдуу убакыт байланышына өбөлгө түзөт.
Бардык бөлүмдөр IT операцияларынын (ITOps) командаларынын ортосундагы чек араларды бузган автоматташтыруу аркылуу бириктирилет. Тиешелүү адамдар инциденттерди чечип жатканын камсыз кылуу үчүн командалар окуянын абалы тууралуу маалыматка толук мүмкүнчүлүк алышат.
Командалар инциденттерди башкаруу процессин жөнөкөйлөтүү жана жакшыртуу үчүн автоматташтырууну колдонушат, анткени IT көйгөйлөрү күчөп баратат.
Киберкоопсуздуктун контекстинде инциденттерди башкаруу – бул реалдуу дүйнөдө киберкоопсуздук менен байланышкан коопсуздук тобокелдиктерин жана инциденттерин табуу, көзөмөлдөө, документтештирүү жана баалоо процесси.
Бул кибер кризистен кийин жана IT тутумуна тийгенге чейин кабыл алынуучу маанилүү чара.
Таштап Жооп