Skip to main content
Lanterna Home

Splunk Lantern

Alerta baseado em risco (RBA)

  1. Last updated
  2. Save as PDF

Um dos principais focos de qualquer Centro de Operações de Segurança é a revisão e triagem de alertas gerados. Os alertas notificam a equipa de uma potencial ameaça, anomalia ou incidente. Com o passar do tempo, a adição de novas fontes de dados, aplicações ou ambientes de cloud pode começar a sobrecarregar o processo de alerta ou mesmo causar uma mudança de foco. Os analistas de segurança devem ter uma forma de categorizar os alertas por prioridade e nível de risco. Alguns alertas podem ter uma maior urgência com base na criticidade do sistema. Por exemplo, poderá atribuir uma prioridade mais elevada a um alerta que tenha a ver com o seu servidor Web de produção e não com o servidor de correio electrónico. Splunk Enterprise Security fornece a capacidade de alterar a sua prioridade de alerta com base na sua avaliação do risco para o seu negócio.

Priorização por urgência

Em Splunk Enterprise Security , aos eventos notáveis é atribuído um nível de urgência de Desconhecido, Baixo, Médio, Informacional, Alto ou Crítico. Estes são atribuídos automaticamente com base em determinadas definições na sua pesquisa de correlação e ajudam-no a categorizar, acompanhar e atribuir os eventos. Podes personalizar as predefinições a fim de alterar o nível de prioridade.

Priorização por risco - Alerta baseado no risco

Na página Revisão de Incidentes em Splunk Enterprise Security , pode criar notáveis de risco personalizados para identificar ameaças no seu ambiente. No seu notório, pode definir os campos para o risk_object bem como o risk_score . Isso permite que você defina uma pontuação mais alta para os seus ativos mais importantes e priorize o alerta para ter um tempo de resposta mais rápido para as ameaças mais críticas.

Que processos de alerta baseados no risco e priorização de risco posso implementar?