Receber alertas quando ocorre um evento crítico é o primeiro passo para responder a um incidente de segurança. Mas, como qualquer especialista em segurança sabe, analisar dados de registro pode ficar caótico quando você precisa classificar o enorme volume de eventos gerados em sua rede.
Embora a maioria das soluções de segurança e gerenciamento de eventos (SIEM) ajude os administradores a superar a sobrecarga de dados, oferecendo alertas personalizáveis, nem sempre é fácil decidir quais eventos são realmente críticos. Tenha em mente que a sobrecarga de alerta pode ser tão perigosa quanto ter muitos dados de segurança brutos.
Então, quais eventos de segurança você realmente precisa de alertas? Infelizmente, não há uma resposta direta. Embora alguns eventos de segurança menos urgentes possam ser periodicamente revisados ao executar relatórios de auditoria, alguns eventos exigem atenção imediata (especialmente se eles se relacionam com a prevenção de ataques ou cumprindo os mandatos regulatórios).
Os ambientes de TI corporativa variam muito, de modo que a lista de alertas críticos de sua empresa depende realmente de quais sistemas você está usando para manter o seu negócio à tona. A largura de banda da sua equipe de segurança também tem um grande efeito sobre como você prioriza os alertas. Enquanto as equipes maiores podem se dar ao luxo de acompanhar continuamente mais eventos de segurança, as equipes de segurança menores só podem responder com realismo a alguns alertas.
Tudo considerado, fizemos algumas pesquisas para criar uma lista de alertas críticos. Aqui está uma prévia dos três principais alertas críticos:
1. Modificações feitas em dados confidenciais
2. Desligamentos repetidos do servidor e reiniciamentos
3. Falhas de login e bloqueios de conta
A ManageEngine tem duas soluções que vão lhe auxiliar na segurança o EventLog Analyzer e o ADAudit Plus. Venha conhecer essas excelentes ferramentas, contando com apoio da equipe ACSoftware.
