Đây là câu hỏi mà nhiều chuyên gia bảo mật CNTT tự hỏi, thường là vì có một câu trả lời dứt khoát.
Cấu hình cảnh báo cho mọi loại sự kiện là một tùy chọn. Làm điều này dẫn đến việc bạn bị bắn phá với các cảnh báo, hầu hết trong số họ biểu thị các hoạt động hàng ngày. Và vì mỗi mạng có các đặc điểm riêng, nên cảnh báo phải được cấu hình cho môi trường cụ thể đó để mang lại kết quả chính xác nhất.
Trong thực tế, các mạng có những đặc điểm chung nhất định. Ví dụ: hầu hết các mạng có nguồn log ở dạng máy trạm, máy chủ, tường lửa và bộ định tuyến. Các đội bảo mật trong các tổ chức lớn hơn thường sẽ gánh vác trách nhiệm đảm bảo rằng các tập tin quan trọng, bí mật của họ không rơi vào tay kẻ xấu.
Một cách để đội bảo mật giải quyết thách thức này là sử dụng giải pháp quản lý sự kiện và thông tin hệ thống (SIEM). Nhiều giải pháp SIEM cho phép các nhóm bảo mật định cấu hình cảnh báo cho các sự kiện nhất định. Cân nhắc các thuộc tính chung và các yêu cầu điển hình của các mạng, chúng tôi đã phác thảo một danh sách các sự kiện mà bạn sẽ nhận được thông báo theo thời gian thực:
1. Sửa đổi các tập tin và thư mục bí mật
2. Máy chủ tắt và khởi động lại
3. Lỗi đăng nhập và khóa tài khoản
4. Thay đổi thành viên nhóm bảo mật
5. Thay đổi quy tắc tường lửa
Để tìm hiểu thêm về cách định cấu hình cảnh báo cho các sự kiện trên, hãy đăng ký hội thảo trên web miễn phí của chúng tôi, nơi chúng tôi sẽ thảo luận về các sự kiện bảo mật phổ biến để tìm hiểu và cách tận dụng giải pháp SIEM của bạn để giảm thiểu các mối đe dọa bảo mật. Chuyên gia bảo mật CNTT của chúng tôi sẽ nhận câu hỏi trực tiếp trong suốt phiên, vì vậy hãy mang theo bất kỳ câu hỏi nào bạn có thể có. Đăng ký miễn phí ngay bây giờ!
Nguồn: ManageEngine
