Ta i bruk verktøy som muliggjør manuelle og automatiske søk, samt alarmering basert på kriterier i all innsamlet sikkerhetsrelevant data. Verktøyet bør automatisk kunne sammenstille data fra forskjellige kilder for å lettere kunne avgjøre om hendelsen er reel (ikke falsk positiv) samt omfang og karakter.
Benytt kunnskap om normaltilstanden (se 3.3.2) og trusler (se 3.3.4) til å forbedre søk og kriterier for alarmering i verktøyet – som vil bidra til å kunne oppdage tidligere ukjente trusler.
Implementering
Definer og identifiser alle kilder til sikkerhetsdata, inkludert loggfiler, nettverksdata og endepunktdata. Bestem så hvilke datakilder som er relevante for å oppdage sikkerhetshendelser.
1. Velg verktøy:
Evaluer tilgjengelige verktøy basert på dine behov. Her bør faktorer som funksjonalitet, brukervennlighet, pris og støtte vurderes.
2. Konfigurer verktøyet
- Definer søkekriterier for å finne sikkerhetshendelser i de valgte datakildene.
- Definer alarmeringskriterier for å automatisk bli varslet om potensielle sikkerhetshendelser.
- Konfigurer dataintegrasjonsverktøyet for å sammenstille data fra forskjellige kilder.
3. Overvåk og vedlikehold
- Etabler en prosess for å vedlikeholde verktøyene og oppdatere konfigurasjonene regelmessig.
- Overvåk verktøyene for å sikre at de fungerer som de skal
- Utfør regelmessige tester for å validere at verktøyene kan detektere og oppdage sikkerhetshendelser.