//Анализ инцидентов информационной безопасности

Анализ инцидентов информационной безопасности

Tibco Spotfire Event Analytics предоставляет мощную аналитическую отчетность по потоковым данным в режиме реального времени внутри аналитической платформы Spotfire. Отслеживайте данные или события в режиме аналитика реального времении будьте проинформированы, когда произойдут отклонения или обнаружатся новые тенденции. 

Оглавление

Что такое система анализа инцидентов информационной безопасности

Аналитика событий – это вычислительный процесс, который занимается сортировкой и разрешением ИТ-событий и инцидентов. Событие может описывать любое изменение состояния или состояния компонента в вашей сети. В процессе нормальной работы все технологические устройства создают события в виде записей журнала и регулярных обновлений статуса, которые записываются как данные о событиях в различных базах данных и других файлах. Аналитика событий направлена ​​на улучшение управления и понимания этих событий.

Исторически сложилось так, что эти события – и последующие действия событий – должны были управляться индивидуально специалистами-людьми, либо по мере возникновения событий, либо путем ручного поиска в файлах журналов для поиска аномалий и выбросов. Со временем системы управления событиями эволюционировали, что дало ИТ-менеджерам возможность анализировать различные предупреждения о событиях и оптимизировать операции. Однако по мере того, как сети продолжали расти, количество и сложность предупреждений на многих крупных предприятиях быстро стала громоздкой. Таким образом, часто можно найти несколько инструментов, которые управляют различными событиями – от успеха GTM и маркетинговых кампаний до сетевых задержек – в разных сегментах организации.

Аналитика событий – это новое поколение средств управления событиями, предназначенное для консолидации нескольких систем в централизованную платформу, что упрощает обнаружение первопричины любой данной проблемы. Как и в случае с облачной и универсальной аналитикой, алгоритмы машинного обучения также автоматизировали большую часть этого процесса, что требует меньшего вмешательства человека для успешного разрешения события и дает организациям во всех отраслях значительное конкурентное преимущество в быстро меняющуюся цифровую эпоху.

 

 

Обзор аналитики событий

 

В чем разница между аналитикой событий и облачной аналитикой?

Аналитика событий и облачная аналитика похожи, хотя они различаются по типу взаимодействия, которое они производят. Аналитика событий может включать локальное программное обеспечение, в то время как облачная аналитика относится исключительно к сервисам, работающим в облаке. С другой стороны, облачная аналитика обычно включает другие типы аналитических услуг, помимо анализа событий, в зависимости от требований поставщика. Облачная аналитика также имеет смысл специально для облачных сервисов, которые могут повысить эффективность и производительность, избавляя администраторов от поездки по сети за данными о событиях. В то время как традиционный инструмент аналитики событий может быть локальным программным приложением, инструменты облачной аналитики полностью размещены в Интернете.

Использование облачного подхода к аналитике событий дает значительные преимущества. Облачная аналитика требует минимальных требований к инфраструктуре, что значительно упрощает установку и настройку программного обеспечения. Облачная аналитика также является более гибкой и может автоматически обновляться, что позволяет ИТ-менеджерам тратить меньше времени на администрирование программного обеспечения и больше времени на работу с данными.

Что такое событие в аналитике?

В аналитике событие – это запись, которая относится к изменению состояния устройства в сети. События обычно генерируются с чрезвычайной регулярностью. Например, сервер может записывать действие или запись события каждый раз, когда веб-страница получает определенное количество просмотров страниц или кликов по ссылкам, или любое другое взаимодействие с пользователем. В загруженной среде результатом могут быть файлы журнала событий, которые потребляют несколько терабайт данных за каждый день работы.

Событие не обязательно должно быть негативным. Фактически, в зависимости от типа взаимодействия, подавляющее большинство событий безобидны и ожидаемы. Категория событий представляет собой один из трех типов: информационное, предупреждение или исключение, которые соотносятся с различными уровнями беспокойства. Инструменты управления событиями и аналитики событий предназначены для того, чтобы помочь командам проанализировать данные о событиях, чтобы определить, в чем заключаются настоящие проблемы; они облегчают создание категории событий, состоящей из примечательных событий, эпизодов, инцидентов и других событий, требующих принятия мер; и они генерируют регулярные отчеты, своевременно предупреждая руководство, если что-то не так.

 
 
 
 

Что такое данные о событиях и насколько они полезны для аналитики?

Данные о событиях – это термин, который описывает дополнительные данные, добавленные к определенным событиям в аналитическом индексе. Данные о событиях обычно включают в себя такую ​​информацию, как кодировка набора символов, отметка времени, определяемые пользователем метаданные, события, не связанные с взаимодействием, и другие стандартизованные поля, такие как имя хоста или источника события. События также могут быть сегментированы в данных события и при необходимости анонимизированы.

Среди прочего, данные о событиях позволяют ускорить поиск, упростить анализ и классифицировать события на основе критериев пользователя. Кроме того, по мере роста индекса данных о событиях становится легче обнаруживать аномалии с помощью отслеживания событий, что позволяет выявить долгосрочные тенденции.

Что такое инцидент?

Инцидент инициируется при нарушении безопасности или прерывании обслуживания. С точки зрения аналитики, инцидент начинается, когда в индексе событий обнаруживается шаблон, который может иметь отношение к безопасности или работе корпоративной системы. Когда обнаруживается подозрительный шаблон, создается запись, известная как заметное событие, которая идентифицируется кодом отслеживания события. В инструменте аналитики событий на панели управления инцидентами будут отображаться все известные события и эпизоды. Известные события получают числовое значение или другой код, присваивающий значение события (или метку события), который классифицирует их по серьезности, поэтому главные события можно быстро отсортировать, назначить, отслеживать и закрывать.

Типичный рабочий процесс инцидентов включает в себя административного аналитика, который отслеживает информационную панель обзора инцидентов, присваивая числовые значения новым заметным событиям, выполняя при этом относительно поверхностную высокоуровневую сортировку по мере их создания и заполнения в инструменте анализа событий. Когда заметное событие требует расследования, административный аналитик поручает его проверяющему аналитику, который начинает формальное расследование инцидента. По завершении аналитик передает событие окончательному аналитику для проверки, который затем подтверждает изменения и формально закрывает дело.

 

Что такое корреляционный поиск?

Поиск корреляции является типом запланированного или повторяющегося поиска аналитических журналов событий, мониторы для подозрительных событий или моделей. Пользователи могут настроить корреляционный поиск, который используется для генерации заметного события при выполнении определенных условий. Этим заметным событиям присваивается оценка риска, которая затем генерирует соответствующее предупреждающее действие, используемое для отслеживания событий. Корреляционный поиск может охватывать несколько типов данных, что позволяет ИТ-менеджерам более точно определять подозрительные схемы атак.

Корреляционный поиск обычно используется для решения конкретных задач безопасности, включая щелчки пользователя, ведущие к вредоносной загрузке, зараженные исходящие ссылки, вредоносный JavaScript, встроенный в элемент веб-страницы, или когда подключаемый модуль содержит уязвимости. Если вы хотите получать оповещения при возникновении инцидентов безопасности, корреляционный поиск автоматизирует этот процесс с помощью регулярного поиска в индексе событий.

Оповещения содержат данные о последних событиях вместе с историческими данными, обеспечивающими контекст, и позволяют пользователю исследовать важность события, и быстро решить, какое действие надо предпринять, так же программа аналитики реального времини.

Что представляет собой заметное событие? Что такое важная политика агрегирования событий?

Заметное событие или главное событие – это запись определенного события, созданная корреляционным поиском. Обычно это принимает форму предупреждения или создания инцидента, которые доставляются аналитику после выполнения определенных критериев. По сути, стоит беспокоиться о заметных событиях.

Примечательна политика агрегации событий используются для группирования вместе и организовать примечательное событие. Эти политики могут быть установлены человеком-аналитиком или алгоритмом машинного обучения, который автоматизирует их реализацию. Во время этого процесса удаляются повторяющиеся записи и создается эпизод после того, как события сгруппированы соответствующим образом. Известная политика агрегирования содержит как заметные события, так и правила, которые автоматизируют действия в ответ на эпизод. (Другими словами, политика содержит как проблему, так и решение.)

 
 
 
 

Что такое серия?

Эпизод – это группа заметных событий, которые были идентифицированы и сгруппированы вместе в категории событий системой аналитики событий. Эпизоды обычно описывают потенциально серьезные события, которые отрицательно влияют на обслуживание – например, отключение сети, приложение, которое больше не работает, вредоносный JavaScript или зараженный плагин, нарушение безопасности или действия пользователя, приводящие к потере данных. Эпизод, как правило, представляет собой подмножество инцидента, которое описывает более длительную и устойчивую последовательность событий.

Система обзора эпизодов будет обозначать серьезность заметных событий и назначать значение события или метку события для основных событий, которые полезны для аналитиков, проводящих сортировку различных эпизодов, влияющих на сеть. Эпизоды также включают тег статуса, обозначающий, является ли он новым, в процессе (и к какому аналитику он назначен), решен (когда проблема решается отвечающим аналитиком) или закрытым (когда последний аналитик рассмотрел работу и подтвердил правильность внесенных изменений).

 
 
 
 

Что вызывает предупреждение?

Аналитики могут настраивать условия срабатывания предупреждений , которые могут запускаться в реальном времени или по расписанию. Когда аналитик создает набор условий срабатывания предупреждения, результаты поиска корреляции (см. Выше) проверяются, чтобы увидеть, соответствуют ли они условиям. Эти условия позволяют аналитику отслеживать события для нескольких событий и полей данных событий. Например, условие срабатывания предупреждения может быть установлено для отслеживания показателя отказов веб-страницы, которое будет срабатывать, если показатель отказов превысит предписанный порог.

Есть два типа предупреждений: предупреждения в реальном времени и предупреждения по расписанию. Предупреждения в режиме реального времени отслеживают квалифицирующие события и полезны в случаях, когда возникла чрезвычайная ситуация, например, сбой сервера или сбой сети. Оповещения в режиме реального времени могут быть установлены с условием запуска для каждого результата для определенных событий, которое уведомляет аналитика каждый раз, когда условие выполняется. Или они могут быть настроены с условием запуска скользящего временного окна, которое отслеживает условия событий в режиме реального времени, но генерирует предупреждение только в том случае, если условия выполняются несколько раз в течение определенного временного окна.

Напротив, запланированные оповещения не запускаются в реальном времени, а запускаются периодически. Обычно оповещения запускаются в более медленное время дня (например, поздно ночью) или в конце заданного периода времени. Оповещение, чтобы проверить, было ли зарегистрировано более десяти неудачных транзакций по кредитной карте в течение предыдущего дня или были ли какие-либо переходы по ссылкам на вредоносной веб-странице, будет типичным вариантом использования повторяющегося запланированного оповещения.

 
 
 

Что такое управление событиями?

Аналитику событий можно считать следующей революцией в технологии управления событиями. Инструменты управления событиями используются для мониторинга определенного компонента или системы в ИТ-инфраструктуре, тогда как аналитика событий часто описывает системы, которые обладают широкими межфункциональными возможностями. Тем не менее, нет широкого консенсуса по стандартному использованию любого термина, и они часто используются как взаимозаменяемые.

Как и системы аналитики событий, инструменты управления событиями предоставляют услуги обнаружения, уведомления и фильтрации. Они также позволяют реагировать на события, генерировать отчеты о событиях и закрывать их через сортировку. Хотя инструменты управления событиями могут быть более узкими по своему охвату, они также могут быть прогнозируемыми и масштабируемыми. Управление событиями также является ключевым компонентом SIEM – информации о безопасности и управления событиями – прогрессивной технологии управления безопасностью, которая позволяет аналитикам безопасности реагировать на угрозы в режиме реального времени.

 
 
 
 

Что такое процесс управления событиями?

Управление событиями следует очень специфическому пути, от создания события до разрешения инцидента.

Сначала создается событие, вероятно, с обычными уведомлениями об обычных изменениях устройств на предприятии. Однако некоторые из них неизбежно превышают спецификации и диапазоны, определенные в корреляционном поиске аналитиком событий. Это примечательные события, и они будут записаны как таковые в системе управления событиями.

По мере того как заметные события фильтруются и агрегируются, они собираются в эпизод, который определяет кластер заметных событий в категории событий. Работа аналитика событий состоит в том, чтобы действовать в соответствии с этими эпизодами, сначала путем определения ценности события и выполнения сортировки, чтобы определить, как лучше всего исправить эпизод, который либо решает его напрямую, либо поручает другому аналитику. Статус эпизода изменяется на «в процессе» или «ожидает рассмотрения», пока он исследуется и принимаются соответствующие меры. Как только исправление установлено, эпизод помечается как решенный.

Последний аналитик просматривает все вышеперечисленное и, когда доволен результатами, закрывает серию.

 
 

Как начать работу с аналитикой событий

Начать работу с сегодняшними инструментами мониторинга и анализа событий очень просто. Хотя установка локального программного обеспечения всегда возможна, инструменты облачной аналитики или облачная аналитика становятся все более привлекательным выбором. Инструменты облачной аналитики проще установить, они требуют гораздо меньше инфраструктуры и так же настраиваемы и настраиваются, как и локальные инструменты.

Некоторые ключевые особенности, на которые стоит обратить внимание:

  • Поддержка широкого спектра типов машинных данных и технологических устройств (серверов, коммутаторов, баз данных, веб-серверов и т. Д.)
  • Панели мониторинга в реальном времени, которые обновляются в режиме реального времени, с простой для понимания визуализацией, которая упрощает данные эпизодов для аналитиков
  • Централизованный сбор событий как из локальных, так и из облачных источников
  • Возможность проводить сортировку по эпизодам и соответственно назначать корректирующие действия
  • Возможность легко создавать корреляционные поиски и управлять ими
  • Проактивная логика, которая прогнозирует проблемы до их возникновения
  • Долгосрочное хранение данных
  • API и SDK, которые позволяют более тонкую настройку и подключение к другим инструментам
 

Аналитика событий предлагает новые идеи

Устройства вашего предприятия ежедневно отправляют гигабайты информации о событиях в виде журналов и других машинных данных. Если вы не собираете эти данные и не обрабатываете их, вы упускаете ключевой инструмент, который должен быть у каждого менеджера в своем арсенале управления ИТ.

Обзор системы анализа инцидентов информационной безопасности

Знайте когда и на чем сосредоточить ваше внимание.

135 - Анализ инцидентов информационной безопасности
Фундаментально преобразуйте ваши бизнес-процессы, анализируя большие объемы данных из разных источников в реальном времени и быстро идентифицируйте и реагируйте на любые изменения. Со встроенным функционалом для прогнозирования вы можете предвидеть и идентифицировать новые тенденции, анализировать их по отношению к прошлым тенденциям и подготовиться к принятию упреждающих действий.

Используйте прошлые и текущие данные, чтобы составить более целостный взгляд на ваш бизнес.

Spotfire Event Analytics позволяет бизнес-пользователям анализировать происходящие события, используя контекст предыдущих данных для сравнения, делать отчеты в режиме реального времени. Комбинируя статические исторические данные с потоковыми данными реального времени, организация может составить более целостный взгляд на бизнес, позволяя пользователям извлекать более осмысленные идеи и принимать грамотные бизнес-решения – и тем самым смягчить риски, снизить затраты и расти вверх, все это с помошью ПО аналитики реального времини!

Принимайте обоснованные решения и меры, пока они еще актуальны.

Оптимизируйте ваши бизнес-процессы, чтобы принимать лучшие решения и извлекать выгоду из умной и быстрой аналитики данных. Продолжительный цикл исследования порождаемых событиями данных поможет ключевым специалистам всегда быть в курсе того, что происходит с их бизнесом. Spotfire Event Analytics генерирует автоматические триггеры и оповещения для исследователей бизнес-процессов в тех вопросах, которые побуждают их к принятию решений и соответствующих действий.
136 - Анализ инцидентов информационной безопасности

Варианты использования

Ниже приведен примерный перечень вариантов использования в конкретных областях, в которых Spotfire Event Analytics может помочь организациям получить более глубокую аналитическую информацию и извлечь выгоду из потоковых данных реального времени.

Энергетика

Финансовые услуги

Производство

Потребительские товары и розничные продажи

Телекоммуникации

Ключевые характеристики платформы инцидентов информационной безопасности

Проницательность

 

Доступ к комплексным данным из различных источников данных реального времени. Агрегирование и трансформация этих данных в осмысленную информацию для улучшенного принятия решений.

 

Широкий охват

 

Комбинирование потоковых данных с историческими данными для понимания исторических тенденций и создания мощных прогнозирующих моделей.

 

Интуитивность

 

Определите ваши прикладные задачи, управляемые событиями, используя интуитивно-понятный, строгий интерфейс. И

нтегрируйте вашу аналитику с вашими сложными бизнес-правилами. Запускайте новые исследования тогда, когда вам это понадобится.

 

Прогнозирование

 

Быстро разрабатывайте, разворачивайте и итерируйте прогностические модели в ваших приложениях реального времени, с быстрой реакцией на появление бизнес-возможностей и угроз.

Спецификация Tibco Spotfire Event analytics

Источники данных для Event Analytics

Совместимость с базами данных

Параметры визуализации

API

Решение для инцидентов информационной безопасности

Решение Spotfire Operations Analytics представляет собой комбинацию возможности конфигурированного анализа и обработки события в реальном времени для удовлетворения этой потребности При использовании программного обеспечения Spotfire Operations Analytics компании могут контролировать траекторию своего бизнеса посредством постоянного управления наиболее важными операционными показателями в ролевой, интерактивной и визуальной среде. От создания основных показателей процесса посредством правил мониторинга в реаль ном времени за правилами контроля, постоянно выдавая прикладные задачи, связанные с определенной проблемой… и снова обратно, Программное обеспечение Spotfire Operations Analytics замыкает петлю, чтобы постоянно улучшать процесс.

На первый взгляд

Решение Spotfire® Operations Analytics представляет собой комбинацию конфигурированных аналитических прикладных задач и обработку событий в реальном времени для того, чтобы помочь профессионалам контактного персонала принять важные решения и предпринять немедленные действия. При помощи программного обеспечения Spotfire Operations Analytics, определение системы показателей закрытой петли и анализ первопричины в реальном времени относительно изменений процесса делаются в том же самом интерактивном визуальном пространстве.

Польза анализа инцидентов информационной безопасности

Уменьшение времени до выполнения действия по улучшению бизнес среды, поставляя легкие в использовании специфические прикладные программы для людей, которым они нужны, именно тогда, когда они необходимы… в реальном времени.

 

Оцените бизнес — процессы с достоверностью, используя исторический исходный материал, инструменты определения резко отклоняющегося значения и изоляции и протестированное время по методологииSix Sigma.

 

Адаптируйте требования к процессу для того, чтобы удовлетворить изменяющиеся потребности бизнеса посредством постоянного обновления контрольных правил для тысяч показателей в визуальной среде, легкой для пользования.

Характеристики и возможности аналитики инцидентов информационной безопасности

Программное обеспечение Spotfire Operations Analytics поставляет прикладные программы анализа, относящиеся к контексту ответа на изменения бизнес-процесса в реальном времени. Эффективный цикл инкрементных обновлений позволяет постоянно улучшать широкий спектр бизнес-процессов.

op 1 3 e1563213605189 - Анализ инцидентов информационной безопасности

Динамическое метрическое определение и синдицирование с использованием решения Spotfire Operations Analytics позволяет специалистам по операциям анализировать многомерные, объемные данные исторического процесса для определения и изолирования резко отклоняющихся значений перед установлением соответствующих контрольных лимитов процессов, находящихся под их мониторингом. Эти лимиты потом могут быть опубликованы напрямую в рабочей памяти в сервере событий реального времени.

Контроль Six Sigma процесса в реальном времени

Программное обеспечение Spotfire Operations Analytics может контролировать тысячи параллельных процессов, используя правила контроля проверенного временем Six Sigma процесса. Изменения процесса инициируют доставку ролевых, предварительно сконфигурированных прикладных заданий анализа, наполненных соответствующими метрическими данными процесса и любой требуемой контекстуальной информацией.

Анализ первопричины и интерактивный процесс метрических обновлений

Получатели прикладных программ узнают первопричину отклонений от процесса, используя визуальную интерактивную платформу аналитики предприятия программного обеспечения Spotfire. Сопоставляя данные процесса и другую релевантную информацию, аналитическая картина и связи, которые было трудно или невозможно установить, становятся ясными. 
op 2 - Анализ инцидентов информационной безопасности
Примените результаты анализа для решения проблем процесса или напрямую скоординируйте
пороги управления процессом посредством той же самой интерактивной прикладной задачи.

 

The TIBCO Spotfire Operations Analytics
предлагает представленную в качестве иллюстрации тенденцию относительно управления бизнесом в реальном времени, в основе которого лежит здравая аналитика, концепция IDC обращается к интеллектуальной автоматизации
процесса. Эта программа обеспечивает лиц, принимающих решения, как незамедлительной
способностью к действию, так и возможностью
раскрыть первопричину исключений посредством интерактивного интерфейса”
 
Dan Vesset
Вице-президент
Business Analytics, IDC.
TIBCO Software Inc. (NASDAQ: TIBX)- это лидирующая компания по программному обеспечению интеграции независимого бизнеса и посредник, помогающий вести бизнес в реальном времени, помогая компаниям стать более рентабельными, быстрыми и эффективными. TIBCO показал ценность бизнеса в реальном времени, называемый TIBCO Силой Сегодняшнего Дня®, тысячам клиентов по всему миру и в широком диапазоне индустрий.

Почитать еще

ai g20 2 large 177x142 - Анализ инцидентов информационной безопасности

Виртуализация данных

Виртуализация данных — способ организации доступа к данным, при котором не требуется информация об их

Несколько видео о наших продуктах

085 - Анализ инцидентов информационной безопасности
Проиграть видео
Презентация аналитической платформы Tibco Spotfire
106 - Анализ инцидентов информационной безопасности
Проиграть видео
Отличительные особенности Tibco Spotfire 10X
1 11 - Анализ инцидентов информационной безопасности
Проиграть видео
Как аналитика данных помогает менеджерам компании
2021-01-31T16:38:02+02:00