Mejores prácticas al clasificar la gravedad de los mensajes de registro en un SIEM

Esto dependerá completamente de cuál es tu objetivo. En general, debe clasificar la gravedad en función de la amenaza de la continuidad del negocio. En primer lugar, categorizar por tipo y subcategorizar:

• Eventos de seguridad = > externo, interno

• Disponibilidad = > hardware (arreglos de discos, baterías en mal estado, chasis abierto ...), software (¿el servicio http aún está disponible, cuál es el tiempo de respuesta, qué están usando nuestras máquinas en recursos, ...)

Luego, para cada subcategoría, usted decide la importancia de cada evento, teniendo en cuenta: "¿Qué amenaza representa este evento para nuestra continuidad comercial?". Podrías diferenciarte con:

• Bajo (Advertencia, pero sin impacto directo si el problema aumenta, si falla)
• Medio (advertencia, pero tiene impacto si el problema aumenta)
• Alto (peligro, el sistema está cerca de dejar de estar disponible)
• Crítico (el sistema está inactivo o los sistemas críticos para la empresa están a punto de fallar)

Para eventos de seguridad, esto podría ser el mismo. Por ejemplo, un escaneo de puerto externo puede ser un riesgo medio, necesita una advertencia, pero probablemente solo sea ruido de Internet, mientras que un escaneo de puerto proveniente de la red interna es mucho más preocupante.

Hay varias iniciativas en curso para facilitar la definición de las empresas. Pero todo depende de los individuos para definir lo que es importante para ellos.

Algunos marcos incluyen:

• VERIS
• CSIRT