Интересная идея была озвучена Аугусто Барросом (Augusto Barros), исследовательским директором Gartner в его недавней публикации в авторском блоге.
Фокусом его интересов является информационная безопасность. В своей публикации он отмечает, что индустрия средств мониторинга событий и инцидентов безопасности изменилась за последние несколько лет. Ранее они работали следующим образом: одно или несколько средств отслеживания событий безопасности генерировали некоторый поток этих событий и присваивали им определенные степени критичности. Имелся некоторый пул сотрудников невысокой квалификации, которые в непрерывном режиме отслеживали этот поток и обрабатывали его в соответствии со скриптами, осуществляя требуемую эскалацию на профильные группы, а также проводя дополнительные расследования событий в силу своих возможностей.
Очевидно, что с тотальной цифровизацией такой экстенсивный способ быстро показал свою неэффективность, и решения по управлению событиями информационной безопасностью начали предоставлять этой группе дежурных инспекторов безопасности не сырые логи, а группировку этих событий по местам их возникновения или объектам с которыми эти события происходят: учетные записи, узлы, интерфейсы, протоколы, порты, элементы систем безопасности, географическое распределение. При группировке эти объекты внимания, по которым осуществляется группировка, стали получать некоторый рейтинг "тревожности", в зависимости от того какие именно события происходили, в какой промежуток времени. Такая предварительная обработка журнала событий поспособствовала не только более качественно и эфективной работе по предотвращению инцидентов безопасности, но и дала возможность для выявления закономерностей, связанных с умышленными атаками на инфраструктуру и контуры безопасности.
При прочтении заметки сразу возникает однозначная аналогия с миром ITSM, иллюстрирующая нам интеграцию процесса управления событиями с процессами управления инцидентами и проблемами. Идея присваивать подобные рейтинги объектам мониторинга (конфигурационным единицам) или даже услугам богата сама по себе, т.к. предоставляет богатый материал для последующего анализа получаемых данных.
От редакции: В нашей проектной практике мы чаще видим, что сбор данных и их анализ/обработка разделены функциональностью существующих продуктов, поставщики инструментария во многом диктуют правила игры и ограничивают существующие возможности. Приходится целенаправленно связывать интеграциями средство мониторинга, аналитическое средство и ITSM систему для того, чтобы иметь возможность получения такой аналитики по сводной картине инфраструктуры, возможности получения выгод от возможностей анализа. В отдельных областях (архитектура сети, виртуализация, отдельные серверные решения) известны решения крупных вендоров с искомой функциональностью, но таких, чтобы можно было отслеживать разнородную инфраструктуру, практически нет или не наблюдается.
Коллеги, занимающиеся управлением проблемами, у нас к вам несколько вопросов:
- Используете ли вы в своей работе массивы данных систем мониторинга для рейтингования объектов управления, прогнозирования (проактивного выявления проблем), выявления слабых мест?
- Если вы используете несколько мониторинговых инструментов (из разных областей), то каким средствами консолидируете и анализируете эти данные?
- Реалистичен ли для вас сценарий, в котором есть возможность подняться над единичной инфраструктурой и консолидировать эту информацию о событиях для проактивного анализа здоровья услуг? Вы ограничены техническими возможностями в первую очередь?
Интересен ваш опыт и достижения в этом направлении!
