Lage en plan for analyse av data fra sikkerhetsovervåkning, herunder:
- Avgjøre om virksomheten selv skal bygge opp analysekompetanse, eller om dette skal kjøpes.
- Prioritet, frekvens og ressursbruk på analysearbeidet.
- Verktøy, tjenester og mekanismer for søk, prosessering og analyser. -
- Forvaltning og videreutvikling av fagområdet, inkludert:
- signaturbaserte verktøy
- normaltilstanden i informasjonssystemet
- metodikk og automatisert prosessering av innhentet sikkerhetsrelevant data
- re-konfigurering av innhenting av sikkerhetsrelevant data
- analyseverktøy, teknologi og algoritmer «anvendt maskinlæring»
- Rapportering
- Hendelseshåndtering
Implementering
1. Kompetanse
Vurder om din virksomhet har den nødvendige kompetansen for å internt analysere data fra sikkerhetsovervåkning eller om den må outsources til en ekstern leverandør. Alternativt, vurder opplæring internt.
2. Prioritering, frekvens og ressursbruk
- Definer prioriteringer for analysearbeidet basert på virksomhetens risikoprofil.
- Bestem frekvens for dataanalyse basert på virksomhetens behov og trusselbildet.
- Tildel nødvendige ressurser til analysearbeidet for å oppnå effektivitet og nøyaktighet.
3. Verktøy, tjenester og mekanismer
Vurder verktøy som tilbyr funksjoner som korrelasjon, visualisering og automatisering av analyseprosessen. Dette innebærer søk i data, prosessering av data, og analyse av data for å identifisere mønstre, trender og avvik som kan indikere sikkerhetsproblemer.
Når man skal velge et verktøy eller en tjeneste bør man vurdere følgende:
- Funksjonalitet: Hvilke funksjoner tilbyr verktøyet?
- Skalerbarhet: Kan verktøyet håndtere store datamengder?
- Komptabilitet: Er verktøyet kompatibelt med virksomhetens eksisterende systemer?
- Kostnad: Hva er kostnaden for verktøyet?
SIEM-verktøy (Security Information and Event Management)
4. Forvaltning og videreutvikling av fagområdet
-
Etabler en strategi: Definere mål for analysekompetansen i virksomheten.
-
Holde seg oppdatert: På nye metoder og teknologier for dataanalyse. Delta i relevant opplæring og kurs.
-
Tilpasse og oppdatere analyseplanen: Gjennomføre regelmessige vurderinger av trusselbildet og virksomhetens behov.
5. Rapportering
Etabler en prosess for å rapportere resultater fra dataanalysen til relevant ledelse og nøkkelpersonell. En slik rapport bør inneholde følgende informasjon:
- Informasjon om identifiserte trusler
- Sikkerhetshendelser
- Trender i sikkerhetslandskapet
6. Hendelseshåndtering
Informasjonen hentet fra dataanalyse bør integreres med virksomhetens prosesser for håndtering av sikkerhetshendelser. Bruk også data hentet fra analysen for å forbedre evnen til å identifisere, respondere og gjenopprette fra sikkerhetshendelser.