Czym jest event, incydent, alert oraz notyfikacja
Ile alertów tworzy incydent? Jak się ma event do alertu? Czym się różni notyfikacja od alertu? Takie pytania spotyka się często na forach użytkowników IT. I chociaż dla wprawnego administratora różnica jest oczywista, nierzadko w dyskusjach dochodzi do nieporozumień. Panuje duża dowolność interpretacji czym jest event, alert, incydent, notyfikacja i jakie są ich wzajemne powiązania.
Badacz zagrożeń, David Miessler, w swojej analizie proponuje podział oparty o stopień ingerencji w działalność biznesową przedsiębiorstwa. Skoro ostatecznie wszystko mierzone jest zdolnością firmy do generowania wartości, podział ten pozwala dość precyzyjnie określić granice pomiędzy tytułowymi określeniami. Trafnie opisuje różnice pomiędzy eventem, alertem a incydentem – brak jednak notyfikacji. Gdy dodamy jej definicję otrzymujemy następujący podział (należy uściślić, że nie jest to oficjalnie przyjęty standard):
Event i Incydent to informacja o aktywności, co się wydarzyło, kto brał w tym udział, jaki był rodzaj połączenia, skąd pochodził.
EVENT
Inaczejzdarzenie. Jest to zaobserwowana zmiana w normalnym zachowaniu urządzenia/systemu/procesu/użytkownika. W zasadzie wszystkie logi to eventy.
Przykładem eventu może być:
- update wersji oprogramowania zarządzającego firewallem,
- zalogowanie się użytkownika do systemu,
- połączenie się administratora z routerem.
INCYDENT
To zdarzenie (event), które negatywnie wpływa na działalność biznesową firmy. Najczęściej incydent rozpoczyna się od eventu wywołującego alert, który analityk lub system kwalifikuje do rangi incydentu. Możliwe jest jeszcze podniesienie rangi bez wywołania alertu – na podstawie decyzji administratora. Incydent może być złożony z kilku eventów.
Sposób powiadomienia o aktywności – w jaki sposób administrator/adresat zostaje powiadomiony o zaistniałej aktywności.
NOTYFIKACJA
Zwykle jest to dość szeroka informacja, którą można zaklasyfikować według Matrycy Eisenhowera jako „WAŻNE-NIEPILNE” lub „NIEWAŻNE-NIEPILNE” –informacje, które:
- nie zostają zaklasyfikowane jako stanowiące ryzyko,
- nie stanowią anomalii zachowania,
- nie wymagają szybkiej reakcji np. sprawdzenia.
Często są one pokazywane w innym oknie systemu niż alerty.
ALERT
Alert to powiadomienie o wystąpieniu określonego zdarzenia (lub serii zdarzeń), które jest wysyłane do odpowiedzialnych stron w celu rozpoczęcia akcji. Alert to coś o czym ma Cię powiadomić urządzenie (SIEM, firewall, DLP) na podstawie reguł bezpieczeństwa, które zaprogramowałeś. Alert może dotyczyć kilku eventów. Alerty zazwyczaj pojawiają się w formie pop-up, są podświetlane lub wyszczególniane w inny sposób.,
Przykłady alertu:
- 5 nieudanych prób logowania do jednego konta,
- połączenie z nieznanego IP w godzinach poza działalnością biznesową,
- próba wysłania e-mailem więcej niż 5 rekordów zakwalifikowanych jako dane osobowe.
Granica: Jakie zachowania uznajemy za normalne?
- Zdarzenie budzące podejrzenia wywoła – à ALERT
- Zakwalifikowanie eventu oznaczonego alertem jako zagrożenia – à INCYDENT
- Analityk może sam zauważyć podejrzane zdarzenie i rozpocząć – à INCYDENT
Powyższe rozważania można krótko podsumować. Każdy incydent jest eventem, ale nie każdy event jest incydentem. Analityk analizuje eventy, w pierwszej kolejności te z wygenerowanymi alertami i na podstawie swojej wiedzy kwalifikuje co uznać za incydent a co za false-positive. Natomiast notyfikacje dodają mu kontekstu podczas ogólnej analizy zdarzeń.
- Według ITIL zdarzenie można zdefiniować jako każde wykrywalne lub dostrzegalne zdarzenie, które ma znaczenie dla zarządzania infrastrukturą bądź świadczenia usług IT. Dodatkowo pozwalają ocenić wpływ jaki odstępstwo może mieć na usługi. Zdarzenia to zazwyczaj powiadomienia tworzone przez usługę IT, element konfiguracji (CI) lub narzędzie do monitorowania.
- NIST i CERT definiują incydent jako naruszenie wyraźnych lub rozumianych zasad i niestety jest to zbyt powszechne w większości organizacji, aby miało to praktyczne zastosowanie
Decydując o tym, jak szeroka lub wąska definicja ma być zastosowana, należy wziąć pod uwagę, że wszystkie incydenty powinny skutkować sprawnie zorganizowanym procesem reakcji na incydent – incident response. Jeśli nie jesteś wstanie tego zrobić, a ponieważ są ich tysiące lub miliony dziennie lub tygodniowo, dostosuj odpowiednio definicję lub gruntownie zmień strategię bezpieczeństwa.