Select tools that support manual and automated searches including criteria based alerts. The tool should be able to automatically collate data from different sources to determine more easily whether the incident is genuine (i.e. not a false positive) as well as its scope and nature. Use knowledge of the desired state (see 3.3.2) and threats (see 3.3.4) to improve the tools’ searches and alert criteria. This will help to detect unknown threats at an earlier stage.
Organisaation tulisi käyttää työkaluja, jotka tukevat sekä manuaalisia että automaattisia hakuja, mukaan lukien kriteereihin perustuvia hakuja. Työkalun pitäisi pystyä automaattisesti kokoamaan tietoja eri lähteistä, jotta voidaan helpommin määrittää, onko kyseessä oikea poikkeama, sekä määrittää sen laajuus ja luonne.
Nämä toiminnot ja prosessit voidaan toteuttaa SIEM:llä (Security information and event management). SIEM-ratkaisuissa käytetään analytiikkatyökaluja, teknologioita ja algoritmeja (esim. uudemmissa SIEM-ratkaisuissa käytetään sovellettua koneoppimista), joiden avulla voidaan havaita tuntemattomia uhkia ja poikkeavuuksia tietoturvan kannalta merkityksellisissä tiedoissa. SIEM-ratkaisujen avulla organisaatiot voivat myös muokata jo olemassa olevia hälytyksiä (yleensä valmiiksi konfiguroituja) ja lisätä kriteereihin perustuvia hälytyksiä vastaamaan tunnettuja uhkia. Nämä asiat auttavat havaitsemaan uhat aikaisemmin.
Järjestelmälokit sisältävät usein runsaasti tietoa, josta suuri osa on tietoturvallisuuden tarkkailun kannalta epäolennaista. Jotta tietoturvallisuuden tarkkailun kannalta merkittävät tapahtumat saadaan tunnistettua, olisi harkittava tarkoituksenmukaisten sanomatyyppien automaattista kopiointia toiseen lokiin tai soveltuvien apuohjelmien tai tarkastustyökalujen käyttöä tiedostojen läpikäymisessä ja selvittämisessä.
Organisaation tietojärjestelmiä ja verkkoa on valvottava poikkeavan käytön havaitsemiksi. Kun poikkeavaa käyttöä havaitaan, organisaation on ryhdyttävä tarvittaviin toimenpiteisiin arvioidakseen tietoturvahäiriön mahdollisuuden.
Valvonnassa tulisi hyödyntää työkaluja, jotka mahdollistavat reaaliaikaisen tai säännöllisen valvonnan organisaation tarvetason huomioiden. Valvontakäytännöillä tulisi pystyä hallitsemaan suuria määriä dataa, mukautumaan muuttuvaan uhkaympäristöön sekä lähettää tarvittaessa hälytyksiä välittömästi.
Seuraavien lähteiden sisällyttämistä valvontajärjestelmään on harkittava:
Organisaation on myös luotava toimintatavat "false positive" tulosten tunnistamiseksi ja korjaamiseksi, mukaan lukien valvontaohjelmiston virittäminen tarkempaa poikkeavuuksien tunnistamista varten.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
