Портал №1 по управлению цифровыми
и информационными технологиями

Управление событиями и рейтинги

tacticsИнтересная идея была озвучена Аугусто Барросом (Augusto Barros), исследовательским директором Gartner в его недавней публикации в авторском блоге.

Фокусом его интересов является информационная безопасность. В своей публикации он отмечает, что индустрия средств мониторинга событий и инцидентов безопасности изменилась за последние несколько лет. Ранее они работали следующим образом: одно или несколько средств отслеживания событий безопасности генерировали некоторый поток этих событий и присваивали им определенные степени критичности. Имелся некоторый пул сотрудников невысокой квалификации, которые в непрерывном режиме отслеживали этот поток и обрабатывали его в соответствии со скриптами, осуществляя требуемую эскалацию на профильные группы, а также проводя дополнительные расследования событий в силу своих возможностей. 

Очевидно, что с тотальной цифровизацией такой экстенсивный способ быстро показал свою неэффективность, и решения по управлению событиями информационной безопасностью начали предоставлять этой группе дежурных инспекторов безопасности не сырые логи, а группировку этих событий по местам их возникновения или объектам с которыми эти события происходят: учетные записи, узлы, интерфейсы, протоколы, порты, элементы систем безопасности, географическое распределение. При группировке эти объекты внимания, по которым осуществляется группировка, стали получать некоторый рейтинг "тревожности", в зависимости от того какие именно события происходили, в какой промежуток времени. Такая предварительная обработка журнала событий поспособствовала не только более качественно и эфективной работе по предотвращению инцидентов безопасности, но и дала возможность для выявления закономерностей, связанных с умышленными атаками на инфраструктуру и контуры безопасности.

При прочтении заметки сразу возникает однозначная аналогия с миром ITSM, иллюстрирующая нам интеграцию процесса управления событиями с процессами управления инцидентами и проблемами. Идея присваивать подобные рейтинги объектам мониторинга (конфигурационным единицам) или даже услугам богата сама по себе, т.к. предоставляет богатый материал для последующего анализа получаемых данных.

От редакции: В нашей проектной практике мы чаще видим, что сбор данных и их анализ/обработка разделены функциональностью существующих продуктов, поставщики инструментария во многом диктуют правила игры и ограничивают существующие возможности. Приходится целенаправленно связывать интеграциями средство мониторинга, аналитическое средство и ITSM систему для того, чтобы иметь возможность получения такой аналитики по сводной картине инфраструктуры, возможности получения выгод от возможностей анализа. В отдельных областях (архитектура сети, виртуализация, отдельные серверные решения) известны решения крупных вендоров с искомой функциональностью, но таких, чтобы можно было отслеживать разнородную инфраструктуру, практически нет или не наблюдается.

Коллеги, занимающиеся управлением проблемами, у нас к вам несколько вопросов:

  • Используете ли вы в своей работе массивы данных систем мониторинга для рейтингования объектов управления, прогнозирования (проактивного выявления проблем), выявления слабых мест?
  • Если вы используете несколько мониторинговых инструментов (из разных областей), то каким средствами консолидируете и анализируете эти данные?
  • Реалистичен ли для вас сценарий, в котором есть возможность подняться над единичной инфраструктурой и консолидировать эту информацию о событиях для проактивного анализа здоровья услуг? Вы ограничены техническими возможностями в первую очередь?

Интересен ваш опыт и достижения в этом направлении! 


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM