Přeskočit obsah

Taxonomie výstrah

TeskaLabs LogMan.io poskytuje taxonomii pro organizaci a správu různých artefaktů generovaných v rámci systému, což analytikům kybernetické bezpečnosti usnadňuje stanovení priorit a efektivní reakci na bezpečnostní hrozby.

Taxonomie je uspořádána do následujícího stromu:

  • Událost
    • Protokol
    • Komplexní
  • Ticket
    • Upozornění
    • Incident

Zde je vysvětlení jednotlivých kategorií a jejich podkategorií.

Událost

Události jsou záznamy o činnostech, ke kterým dochází v síti, systémech nebo aplikacích organizace.

Lze je dále rozdělit na:

Log

Protokoly jsou základní záznamy generované různými zařízeními, systémy nebo aplikacemi, které uchovávají informace o jejich činnosti. Příkladem jsou protokoly brány firewall, protokoly serverů nebo aplikací. Tyto protokoly pomáhají analytikům pochopit, co se děje v prostředí organizace, a lze je použít pro odhalování bezpečnostních hrozeb a anomálií.

Komplexní

Komplexní události označují korelované nebo agregované události, které mohou indikovat bezpečnostní incident nebo vyžadovat další analýzu. Generují je korelátory, hlídače a jiné detektory, které shromažďují události z různých zdrojů, analyzují je a vytvářejí výstrahy na základě předem definovaných pravidel nebo algoritmů strojového učení.

Ticket

Tikety vytvářejí analytici kybernetické bezpečnosti nebo automatizované korelátory, hlídače a detektory za účelem sledování a správy bezpečnostních událostí, které vyžadují pozornost. Tiket se může týkat nuly, jedné nebo více událostí.

Lze je dále rozdělit na:

Upozornění

Výstrahy jsou generovány, když je zjištěna určitá událost, série událostí nebo anomálie, která může znamenat potenciální bezpečnostní hrozbu. Výstrahy obvykle vyžadují okamžitou pozornost analytiků kybernetické bezpečnosti, kteří je třídí, vyšetřují a určují, zda se jedná o skutečný bezpečnostní incident.

Incident

Incidenty jsou potvrzené bezpečnostní události, které byly prošetřeny a klasifikovány jako skutečné hrozby. Představují vyšší úroveň závažnosti než výstrahy a často vyžadují koordinovanou reakci více týmů, například týmů pro reakci na incidenty nebo správu sítě, s cílem hrozbu omezit, napravit a zotavit se z ní.