Ключевые роли и обязанности в команде реагирования на инцидент

Содержание

Объем

Управление проблемами включает в себя действия, необходимые для диагностики основной причины инцидентов, выявленных в процессе управления инцидентами , и для определения решения этих проблем. Он также несет ответственность за обеспечение того , чтобы разрешение осуществляется через соответствующие процедуры контроля, в частности управления изменениями и управления релизами .

Управление проблемами также будет хранить информацию о проблемах и соответствующих обходных путях и решениях, чтобы организация могла со временем уменьшить количество и влияние инцидентов. В этом отношении Управление проблемами имеет надежный интерфейс с Управлением знаниями , и для обоих будут использоваться такие инструменты, как База данных известных ошибок . Хотя управление инцидентами и управление проблемами являются отдельными процессами, они тесно связаны и обычно используют одни и те же инструменты, а также могут использовать схожие системы категоризации, воздействия и приоритета кодирования. Это обеспечит эффективное общение при рассмотрении связанных инцидентов и проблем.

Процедура управления

Как любая корпоративная процедура, организация управления инцидентами информационной безопасности должна пройти несколько этапов: от принятия решения о его необходимости до внедрения и аудита. На практике менеджмент большинства предприятий не осознает необходимости применения этой практики защиты информационного периметра, поэтому для возникновения инициативы о ее внедрении часто требуется аудит систем ИБ внешними консультантами, выработка ими рекомендаций, которые затем будут реализованы руководством предприятия. Таким образом, начальной точкой для реализации процедур управления инцидентами ИБ становится решение исполнительных органов или иногда более высоких звеньев системы управления компании, например, Совета директоров.

Общее решение обычно принимается в русле модернизации существующей системы ИБ. Система управления инцидентами является ее основной частью. На уровне принятия решения необходима его локализация в общей парадигме целей компании. Оптимально, если функционирование системы ИБ становится одной из бизнес-целей организации, а качество ее работы подкрепляется установлением ключевых показателей эффективности для ответственных сотрудников компании. После определения статуса функционирования системы необходимо перейти к разработке внутренней документации, опосредующей связанные с ней отношения в компании.

Для придания значимости методикам управления информационной безопасностью они должны быть утверждены на уровне исполнительного органа (генерального директора, правления или совета директоров). С данными документа необходимо ознакомить всех сотрудников, имеющих отношение к работе с информацией, существующей в электронных формах или на материальных носителях.

В структуре документа, оформляемого в виде положения или регламента, должны выделяться следующие подразделы:

  • определение событий, признаваемых инцидентами применительно к системе безопасности конкретной компании. Так, пользование внешней электронной почтой может быть нарушением ИБ для государственной компании и рядовым событием для частной;
  • порядок оповещения о событии. Должны быть определены формат уведомления (устный, докладная записка, электронное сообщение), перечень лиц, которые должны быть оповещены, и дублирующие их должности в случае их отсутствия, перечень лиц, до которых также доносится информация о событии (руководство компании), срок уведомления после получения информации об инциденте;
  • перечень мероприятий по устранению последствий инцидента и порядок их реализации;
  • порядок расследования, в котором определяются ответственные за него должностные лица, механизм сбора и фиксации доказательств, возможные действия по выявлению виновника;
  • порядок привлечения виновных лиц к дисциплинарной ответственности;
  • меры усиления безопасности, которые должны быть применены по итогам расследования инцидента;
  • порядок минимизации вреда и устранения последствий инцидентов.

При разработке регламентов, опосредующих систему управления событиями ИБ, желательно опираться на уже созданные и показавшие свою эффективность методики и документы, включая формы отчетов, журналы регистрации, уведомления о событии.

Роли и области ответственности, участвующие в управлении ИТ-инцидентами

Несмотря на то что в каждой организации могут иметься собственные настраиваемые роли и области ответственности, существует ряд ролей, которые наиболее часто используются в управлении ИТ-инцидентами.

Конечный пользователь/пользователь/автор заявки
Это та заинтересованная сторона, которая обычно испытывает перебои в работе службы и создает заявку об инциденте для запуска процесса управления инцидентами.

Служба поддержки уровня 1
Первая точка обращения авторов заявок, которые хотят сообщить об инциденте. К службе поддержки уровня 1 обычно относятся технические специалисты, обладающие практическими знаниями в области наиболее распространенных проблем, которые могут возникать в ИТ-среде, включая запросы на сброс паролей и проблемы в работе Wi-Fi.

Служба поддержки уровня 2
Технические специалисты этого уровня обладают глубокими знаниями в области управления инцидентами. Они обычно занимаются более сложными обращениями от конечных пользователей; от также получают заявки при эскалации проблем от специалистов уровня 1.

Служба поддержки уровня 3 (и выше)
Этот уровень обычно представлен специалистами с экспертными знаниями в определенной области информационных технологий. Например, технические специалисты в области обслуживания оборудования и поддержки серверов специализируются в очень узких областях.

Инцидент-менеджер
Данное заинтересованное лицо играет ключевую роль в процессе управления инцидентами. Помимо других своих обязанностей, инцидент-менеджер организует мониторинг эффективности процесса, предоставляет рекомендации по улучшению, а также обеспечивает соблюдение процесса.

Ответственный за процесс
Назначается лицом, ответственным за соблюдение процесса управления инцидентами. Также анализирует, изменяет и улучшает процесс, чтобы он оптимально подходил для организации.

У каждой роли имеется своя уникальная область ответственности, как указано ниже.

    • Обращается в службу поддержки с заявкой об инциденте.
    • Отслеживает существующую заявку.
    • Четко сообщает все требуемые сведения техническим специалистам.
    • Подтверждает восстановление работы службы и выполнение заявки.
    • Принимает участие в контрольном опросе для предоставления обратной связи после выполнения заявки.
    • Регистрация всех входящих заявок об инцидентах со всеми применимыми параметрами, такими как категория, срочность и приоритет.
    • Назначение заявок техническим специалистам.
    • Анализ инцидента и предоставление решения для возобновления работы службы.
    • Эскалация неразрешенных инцидентов в службу поддержки уровня 2.
    • Сбор всей требуемой информации от авторов заявок и отправка им регулярных обновлений относительно статуса их заявки.
    • Точка обращения для авторов заявок и координация действий специалистов службы поддержки уровня 2 и авторов заявок, если это необходимо.
    • Проверка решения с конечным пользователем и сбор отзывов.
    • Выполнение диагностики по инциденту.
    • Документирование действий, предпринятых для устранения инцидента, и отправка статей базы знаний.
    • Определение инцидента как проблемы и преобразование заявки об инциденте в заявку о проблеме.
    • Если инцидент устранен, подтверждение факта устранения конечным пользователем.
    • Если инцидент не устранен, эскалация в службу поддержки уровня 3.
    • Если инцидент не устранен, эскалация группе по решению ИТ-проблем для определения основной причины или внешним поставщикам (в соответствии с ситуацией).
    • Предоставление экспертных знаний в предметной области.
    • Точка обращения для сообщения обо всех серьезных инцидентах.
    • Планирование и реализация всех мероприятий в рамках процесса управления инцидентами.
    • Соблюдение надлежащего процесса обработки всех заявок и исправление любых отклонений.
    • Координация действий с ответственным за процесс и коммуникация с ним.
    • Обеспечение соответствия требованиям SLA.
    • Определение инцидентов, устранение которых требуется проконтролировать, и контроль таких инцидентов.
  • Ответственный за процесс

    • Несет ответственность за весь процесс управления инцидентами.
    • Определение ключевых показателей эффективности (КПЭ) и их сопоставление с критическими факторами успеха (КФУ).
    • Проверка КПЭ и обеспечение их соответствия бизнес-целям и КФУ.
    • Разработка, документирование, обзор и улучшение процессов.
    • Обеспечение непрерывного совершенствования услуг: проверка и улучшение процедур, политик, ролей, технологии и других аспектов процесса управления инцидентами.
    • Отслеживание отраслевых рекомендаций и их применение в процессе управления инцидентами.

Как это работает?

Программа по определенным ключевым словам находит в соцсетях негативные сообщения, касающиеся власти. Например, люди жалуются: «сегодня у нас отключили горячую воду, когда же это прекратится?», «стою на остановке, а транспорт не ходит» и так далее.

Жалоба отправляется куратору системы «ИМ» в определенном регионе. В Чувашии таких кураторов пока два: один находится в администрации главы республики, другой – в Миниформполитики. По словам Вансяцкого, работа эта сейчас никак не регламентирована, отдельно не оплачивается и по сути является общественной нагрузкой. При этом она достаточно трудоемкая.

За день может приходить от 100 до 150 жалоб.

Далее куратор переправляет жалобу в тот муниципалитет (а большинство жалоб связано с работой местных чиновников), где появилась проблема и откуда человек, ее описавший. В каждом муниципалитете есть ответственный за работу в системе, который должен подготовить ответ в течение 24 часов. Куратор его согласовывает, и ответ публикуется в соцсетях.

Если человек получил ответ чиновника и написал что-то типа: «спасибо, я удовлетворен», «инцидент» считается закрытым. Если человек никак не реагирует, «инцидент» автоматически закрывается через три дня с формулировкой: «ответа нет». Если же пользователь продолжает выражать недовольство, то работа с ним продолжается. В итоговом рейтинге это идет в минус властям. При этом встречаются и сообщения, не требующие ответа: «все кругом козлы, всех долой!».

А как же другие похожие проекты в Интернете – те же «Народная экспертиза» или «Активный горожанин»? Чем они хуже «Инцидента»?

Они не хуже, они другие. «Народная экспертиза» и «Активный горожанин» предполагают наличие некоторых усилий пользователя. Он должен зарегистрироваться на соответствующем портале, перейти в нужный ему раздел, сообщить о проблеме или изложить свою инициативу. В случае с «Инцидентом» власть узнаёт о проблеме, даже не заходя в соцсеть. А проблема конкретного человека зачастую решается ещё до того, как он на неё официально пожалуется. 

По сути, устами главы региона власти признают: их цель – обнаружить болевые точки и провести работу над ошибками. А «Инцидент менеджмент» – это просто удобный программный продукт, позволяющий добиться этой цели.

What is incident management?

Incident management is the process of detecting, investigating, and responding to incidents while they happen in as little time as possible. While it’s not always a permanent solution, incident management is important in order to finish projects on time, or as close to the set deadline as possible. 

Incident management can be implemented within any team, though IT teams use it alongside release management and sometimes refer to it as IT infrastructure library (ITIL) incident management.

Project managers use incident management during projects in order to prevent hazards from derailing tasks. This is done with the help of a five-step process that ensures incidents get solved efficiently and correctly. 

Читать статью «Эффективность и результативность в бизнесе — почему вашей команде нужно и то, и другое»

There is often confusion between incident management and problem management. Let’s compare each and uncover the differences. 

Услуги по мониторингу и анализу СМИ

Компания «Медиалогия» предоставляет клиентам широкий перечень сервисов для решения ряда задач. Основные услуги:

  1. Для PR – открывается доступ к онлайн-базе СМИ с возможностью самостоятельно мониторить сведения из средств массовой информации, анализировать заголовки и материалы СМИ, формировать отчеты в пару кликов.
  2. Для SMM – автоматическая система мониторинга соцмедиа. Заказчик получает полные данные по всем существующим источникам, лимиты по объемам сообщений для проведения исследований отсутствуют. Можно проводить комплексный анализ целевой аудитории, сосредотачиваться на требуемых сегментах. Есть удобные инструменты визуализации, быстрой выгрузки отчетов. API открытый – «Медиалогия» дружественная для широкого перечня интеграций с системами CRM, сквозной аналитики.
  3. Реагирование в соцмедиа – или инцидент, предполагает отработку негатива в социальных медиа, быстрое реагирование на важные упоминания, контроль качества коммуникаций, скорости передачи данных. Можно отбирать важные сообщения, классифицировать их, автоматизировать согласования по ответам, управлять коммуникациями, оценивать скорость реагирования.

Тариф зависит от конкретного пакета услуг.

Устранение причин и последствий события, его расследование

Непосредственно после уведомления соответствующих должностных лиц о произошедшем инциденте и его фиксации необходимо совершить действия реагирования, а именно устранения причин и последствий события. Все этапы этих процессов должны найти свое отражение в регламентах. Там описываются перечни общих действий для отдельных наиболее значимых событий, конкретные шаги и сроки применения мер. Необходимо также предусмотреть ответственность за неприменение установленных мер или недостаточно эффективное их применение.

На этапе расследования от должностных лиц организации требуется:

  • определить причины возникновения инцидента и недостатки регламентирующих документов и методик, сделавших возможным его возникновение;
  • установить ответственных и виновных лиц;
  • собрать и зафиксировать доказательства;
  • установить мотивы совершения инцидента и круг лиц, причастных к нему помимо персонала компании, выявить заказчика.

Если предполагается в дальнейшем возбуждение судебного преследования по факту инцидента на основании совершения преступления в сфере информационной безопасности или нарушения режима коммерческой тайны, к расследованию уже на начальном этапе необходимо привлечь оперативно-следственные органы. Собранные самостоятельно факты без соблюдения процессуальных мер не будут признаны надлежащими доказательствами и приобщены к делу.

Как расследовать утечки информации с помощью DLP-системы? Читать. 

Problem management vs. incident management

While there are a few differentiating factors when it comes to problem management vs. incident management, one key difference stands out. That is, problem management is the process of correcting the root cause of a project hazard, while incident management involves correcting a project interruption with a quick fix.

You can visualize this difference with a simple analogy. If incident management is the bandaid over a wound, then problem management is the ointment. Both are important in protecting the wound but have different purposes. 

While both systems are needed, they provide different outcomes and happen at different times in the project lifecycle. Incident management happens when an incident occurs, while problem management looks to solve the underlying issue after the fact to ensure it doesn’t happen again. 

What is incident management?

An incident is defined as a single event that causes disruption. In this case, a quick approach is needed in order to manage the incident before it becomes a problem. 

Here are some key differentiating characteristics of an incident:

  • An incident is a single spontaneous event.

  • An incident is an unplanned interruption.

  • An incident is quickly solved in real time.

In short, an incident is a single event that is resolved quickly.

What is problem management?

A problem is defined as a cause of one or more incidents. An analysis will happen over time to resolve the underlying root cause.  

Here are some key differentiating characteristics of a problem:

  • A problem is the result of multiple similar events.

  • A problem halts business operations.

  • A problem is solved by resolving the root cause over time.

In short, a problem is the result of multiple events and is solved over time. 

Read: Ask “5 Whys” to get to the root of any problem

Практикум по разработке SIEM системы

  • сбор и хранение поступающих событий безопасности;
  • обработка и анализ зарегистрированных событий безопасности;
  • обнаружение атак и нарушений политик безопасности в реальном времени (близком к реальному времени);
  • выявление и разбор инцидентов безопасности;
  • формирование отчетов.
  • оценка защищенности ресурсов контролируемой системы;
  • проверка соответствия системы управления ИБ существующим требованиям и нормам;
  • управление рисками ИБ и др.
1. Организация тестового окружения.
     1.1. Установка и настройка веб-сервера Apache.
     1.2. Установка и настройка хранилища данных MongoDB.
     1.3. Установка и настройка брокера сообщений RabbitMQ.
     1.4. Установка и настройка среды разработки Visual Studio.
2. Разработка защищаемого веб-приложения Buggy Webapp.
3. Разработка коннектора для веб-сервера Apache.
4. Разработка ядра корреляции (обработчика событий).
     4.1. Оценка производительности хранилища данных MongoDB.
     4.2. Формирование набора правил корреляции.
     4.3. Реализация ядра корреляции.
5. Разработка консоли администратора безопасности.
6. Проверка работоспособности разработанной SIEM системы.
  1. «Применение технологии управления информацией и событиями безопасности для защиты информации в критически важных инфраструктурах» – одна из первых статей (2012 год) коллектива исследователей лаборатории проблем компьютерной безопасности СПИИРАН (И. В. Котенко, И. Б. Саенко, О. В. Полубелова, А. А. Чечулин) с общими положениями по построению и функционированию SIEM систем. Полный список публикаций лаборатории.
  2. «Security Information and Event Management (SIEM) Implementation» – замечательная книга Дэвида Миллера, Шон Харрис и др. Издание 2011 года, с отдельными устаревшими главами, но во многом по-прежнему актуальное. Системный взгляд на организацию SIEM систем, доступный английский язык, понятные примеры.
  3. Magic Quadrant for Security Information and Event Management 2015. Тематические отчеты Gartner за 2016 и 2017 годы также будут полезны исследователям SIEM систем.

Внутренняя оценка

    • Кто обнаружил инцидент и как это произошло?
    • Как быстро был обнаружен инцидент, после того как он возник?
    • Можно ли было определить инцидент раньше?
    • Можно ли было использовать какие-либо средства или технологии для оперативного или упреждающего обнаружения инцидента?
    • Как быстро заинтересованные лица были проинформированы об инциденте?
    • Какой канал использовался для отправки уведомлений?
    • Были ли соответствующие заинтересованные лица оперативно проинформированы о текущем состоянии дел по инциденту?
    • Насколько просто было связаться с конечными пользователями для сбора информации и их информирования о статусе заявки?
    • Какова была изначальная структура команды по реагированию на инцидент?
    • Соблюдалась ли данная структура на протяжении всего жизненного цикла управления инцидентами? Если нет, то почему? Какие изменения были внесены в структуру?
    • Можно ли более эффективно организовать команду реагирования на инцидент? Если да, то как?
    • Какие ресурсы были задействованы для устранения инцидента?
    • Оптимально ли использовались эти ресурсы в соответствии с их возможностями?
    • Как быстро ресурсы были мобилизованы для устранения инцидента?
    • Можно ли улучшить использование ресурсов в будущем?
    • Насколько точно соблюдался заданный процесс управления инцидентами?
    • Были ли отклонения от рабочего процесса управления инцидентами?
    • Соблюдались ли требования SLA в отношении инцидента? Если нет, то какие требования каких SLA были нарушены? Почему?
    • Обеспечивался ли надлежащий мониторинг за процессом устранения инцидента?
    • Можно ли улучшить процесс, чтобы сделать его более эффективным? Если да, то каким образом?
  • Отчеты

    • Создавались ли отчеты для анализа порядка устранения инцидента?
    • Какие параметры были включены в такие отчеты?
    • Какие аспекты жизненного цикла инцидента были проанализированы?
    • Имеются ли возможности для улучшений? Если да, то как этого можно добиться?

Жизненный цикл управления ИТ-инцидентами

Процесс управления инцидентами включает следующие этапы:

  • Этап 1 : Регистрация инцидента.
  • Этап 2 : Классификация инцидента.
  • Этап 3 : Присвоение приоритета инциденту.
  • Этап 4 : Назначение инцидента.
  • Этап 5 : Создание задач и управление ими.
  • Этап 6 : Управление SLA и эскалация.
  • Этап 7 : Предоставление решения по инциденту.
  • Этап 8 : Закрытие инцидента.

Жизненный цикл управления инцидентами

В зависимости от типа инцидента эти процессы могут быть простыми или сложными; помимо основного процесса, указанного выше, они также могут включать несколько рабочих процессов и задач.

Регистрация инцидента
Для регистрации инцидента можно использовать телефон, электронную почту, SMS, веб-формы, опубликованные на портале самообслуживания, а также живые чаты.

Классификация инцидента
В зависимости от того, какую область ИТ или бизнеса затрагивает инцидент, например, сеть, оборудование и т. д., инциденту можно присвоить категорию и соответствующую подкатегорию.

  • Присвоение приоритета инциденту

    Приоритет инцидента можно определить с помощью матрицы приоритетов (степень влияния и срочность). Степень влияния на работу бизнеса означает степень ущерба, который проблема нанесет пользователю или организации. Срочность инцидента обозначает временные рамки, в которые инцидент должен быть устранен. Инциденту можно присвоить следующий приоритет:

    • Критический
    • Высокий
    • Средний
    • Низкий

Маршрутизация инцидентов и их оценка
После присвоения инциденту категории и приоритета он автоматически переадресуется соответствующему техническому специалисту, обладающему необходимыми знаниями и навыками.

Создание задач и управление ими
В зависимости от сложности инцидента процесс его устранения можно разделить на несколько действий или задач. Задачи обычно создаются в случае, когда для выработки решения по инциденту требуется привлечь нескольких специалистов из различных отделов.

Управление SLA и эскалация
При обработке инцидента техническому специалисту необходимо обеспечивать соблюдение требований SLA. SLA — это приемлемое время, в течение которого требуется предоставить ответ по инциденту (SLA в отношении ответа) или решение (SLA в отношении предоставления решения). SLA можно назначать инцидентам на основе таких параметров, как категория инцидента, автор заявки, влияние, срочность и т. д. В случае, когда требования SLA могут быть нарушены или уже нарушены, инцидент можно эскалировать для передачи другому специалисту или на другой уровень, чтобы обеспечить его оперативное устранение.

Предоставление решения по инциденту
Инцидент считается устраненным, когда технический специалист предоставил временное обходное решение или окончательное решение проблемы.

Закрытие инцидента
После устранения инцидента и получения от пользователя подтверждения того, что решение сработало и он удовлетворен результатом, инцидент можно закрыть.

Ответ получен, а потом?

Чтобы ускорить работу, сотрудники муниципалитетов получают прямой доступ к системе, и сами видят «инциденты». Но при этом начинает страдать качество ответов. Иногда ответы бывают похожи на отписки. В других случаях пользователю, например, отправляют ссылку на закон для самостоятельного поиска ответа на свой вопрос. Между тем они должны быть простыми, без канцеляризма, то есть разговаривать с людьми на нужно их языке.

Впрочем, то, что ответ от чиновника получен, еще не означает, что проблема людей будет решена.

На сегодня единственным критерием, сделано ли то, что местные чиновники пообещали в соцсетях или нет, является отсутствие жалоб от человека.

Иными словами, «инцидент менеджмент» достаточно успешно работает на то, чтобы снизить «градус недовольства», но пока не дорабатывает по части практического применения. «Сейчас у нас нет возможности отслеживать эти вещи», – объясняет Вансяцкий.

По его словам, необходим нормативный документ, который регламентировал бы работу органов власти с сообщениями из открытых источников. А после принятия регламентов нужны стандарты и обученные люди, умеющие работать с соцсетями.

По имеющейся информации, в ПФО осталось лишь два региона, где работа в системе «инцидент менеджмент» ведется практически на общественных началах. Это Чувашия и Марий Эл. В то время как, например, в Башкортостане есть целое управление по социальным коммуникациям с 20 сотрудниками, которые занимаются ведением аккаунтов органов власти, в том числе и «инцидент менеджментом».

У нас же в республике пока доминирует такой подход: население итак должно знать, что власть о нем заботится. А если не знает, значит СМИ недорабатывают.

Превентивные меры, изменения стандартов и ликвидация последствий

Непосредственно после выявления инцидента предпринимаются оперативные меры по устранению его последствий. На следующем этапе необходим анализ причин его возникновения и совершение комплекса действий, направленных на предотвращение возможного повторения аналогичного события. Сегодня основным регламентирующим документом, предлагающим стандарты реакции на инциденты, стал ISO/IEC 27000:2016, это последняя версия совместной разработки ISO и Энергетической комиссии. В России на основе более ранних версий ISO/IEC разработаны ГОСТы. В рамках ISO/IEC 27000:2016 предлагается создать специальную службу поддержки, Service Desk, на которую должны быть возложены функции управления инцидентами.

Кто больше?

За прошлый год система зафиксировала более 9,5 тысяч «инцидентов» в Чувашии. Лидером среди сообщений стали жалобы на дороги, то есть их отсутствие, неудовлетворительное качество или содержание – это 2 281 «инцидент». На втором месте – благоустройство (уборка снега, мусор, ямы во дворах, парковки, состояние детских площадок) – 2 099 сообщений. На третьем – работа общественного транспорта – 1 904 сообщений.  Большинство жалоб в прошлом году касалось проводимой в Чебоксарах транспортной реформы. Еще один крупный блок проблем – жалобы на ЖКХ – 1 275 сообщений. Далее идут проблемы с образованием, вывозом мусора, экологией и здравоохранением. Но здесь жалоб оказалось в разы меньше, чем по первым четырем блокам вопросов.

Сведения о ServiceDesk Plus

ServiceDesk Plus, флагманский продукт компании ManageEngine, представляет собой программное обеспечение для службы технической поддержки, которое используется профессионалами в области ITSM по всему миру и обеспечивает поддержку ITIL. Благодаря функции ITSM, сертифицированной по отраслевым стандартам, удобству использования и собственным мобильным приложениям ServiceDesk Plus использует передовые технологии, чтобы помочь ИТ-отделам организовать высококлассное обслуживание конечных пользователей при одновременном сокращении затрат и снижении сложности. Программное обеспечение, которое доступно как в облаке, так и локально, предлагается в трех версиях и на 29 языках. Свыше 100 000 организаций в 185 странах применяют ServiceDesk Plus для оптимизации своих служб ИТ-поддержки и использования передовых практик в области управления ИТ-обслуживанием. Подробные сведения о ServiceDesk Plus представлены на странице по адресу manageengine.com/ru/service-desk.

Разработка ядра корреляции (обработчика событий)

4.1 Оценка производительности хранилища данных MongoDB

MongoBenchmark/Program.cs.NET driver for MongoDB

  • Широко цитируемый источник по вопросу «замера» времени выполнения операций: обсуждение Environment.TickCount vs DateTime.Now на Stack Overflow.
  • Попытка вставить в коллекцию два документа c одинаковыми _id закончится неприятностью в виде исключения MongoDB.Driver.MongoWriteException с примерным пояснением:

проекте OSSECtest_webapp_rules.xml

well-formed

4.3 Реализация ядра корреляции

  1. Ядро корреляции «слушает» очередь сообщений AirSIEM_ConnectorQueue.
  2. При поступлении очередного сообщения (события) ядро пытается применить к нему заранее загруженные правила обработки событий (правила корреляции).
  3. В случае применимости одного из правил к поступившему событию безопасности ядро при необходимости формирует инцидент безопасности и сохраняет его в коллекции alerts хранилища данных MongoDB.

AirSIEMNLog

инструкциипример содержания