إنشاء وصيانة حدود الحوادث الأمنية
الوصف
إنشاء وصيانة حدود الحوادث الأمنية بما في ذلك كحد أدنى التفريق بين الحادث والحدث.
قائمة التحقق من التطبيق
توصيات الأدوات
منصة إدارة معلومات وأحداث الأمان مع إدارة السجلات واكتشاف التهديدات والتحقيق وإعداد تقارير الامتثال عبر مصادر بيانات المؤسسة
Cisco (Splunk) · قائم على حجم البيانات المستوعبة أو حجم العمل
منصة سحابية أصلية لإدارة معلومات وأحداث الأمان والاستجابة الآلية للتهديدات مع تحليلات مدعومة بالذكاء الاصطناعي واستجابة آلية للتهديدات وتكامل أصلي مع بيئة السحابة
Microsoft · الدفع حسب الاستخدام (لكل غيغابايت مستوعبة)
منصة تنسيق الأمان والأتمتة والاستجابة مع أتمتة أدلة التشغيل وإدارة الحالات
Palo Alto Networks · اشتراك مؤسسي
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
حدث أمني ثانوي يُعامل كحادث كبير
التوفريُفعّل حدث أمني روتيني مثل فشل تسجيل دخول واحد تعبئة كاملة للاستجابة للحوادث لأنه لا توجد حدود تميز الأحداث عن الحوادث، مما يهدر الموارد ويتسبب في إرهاق التنبيهات.
اختراق فعلي يُعامل كحدث روتيني
السريةيُصنف اختراق بيانات حقيقي كحدث أمني روتيني ويتلقى تحقيقاً أدنى لأنه لا توجد حدود محددة تميز بين الأحداث التي تتطلب معالجة قياسية والحوادث التي تتطلب استجابة مصعّدة.
تصنيف حوادث غير متسق عبر الفرق
السلامةيصنف محللون مختلفون نفس نوع الحدث الأمني بشكل مختلف لأنه لا توجد حدود موحدة، مما يؤدي إلى مستويات استجابة غير متسقة ومقاييس حوادث غير موثوقة.
الثغرات (عند غياب الإجراء الوقائي)
عدم وجود حدود محددة بين الأحداث والحوادث
بدون حدود راسخة تميز الأحداث الأمنية عن الحوادث، لا تستطيع المؤسسة تحديد بشكل متسق متى يجب التصعيد، مما يؤدي إما إلى رد فعل مبالغ فيه على الأحداث الثانوية أو رد فعل ناقص على الاختراقات الفعلية.
عدم وجود إطار تصنيف حوادث موحد
يعني غياب حدود محددة لفئات مثل النشاط غير الطبيعي والثغرة الأمنية واختراق البيانات وحادث الخصوصية أن كل حدث يُصنف بشكل ذاتي، مما يُنتج استجابات غير متسقة.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |