Я знаю расчет "риска", но я не понимаю, что означают переменные в вычислении
Расчет риска ( (актив * приоритет * надежность) / 25
)
Я не совсем понимаю, какими должны быть отдельные переменные в этом уравнении, и, похоже, они не задокументированы или объяснены в любая деталь.
Например, что означает «надежность»? Есть ли какая-нибудь статья или документация, описывающая части этого расчета и то, что они на самом деле должны означать? Что-то вроде «это событие очень надежное» - но что это вообще значит, особенно если я понятия не имею, действительно ли конкретное событие является событием безопасности. Например, какую метрику / рубрику мне использовать, чтобы определить, является ли событие более «надежным»?
И «актив»: я полагаю, что одни активы явно более важны, чем другие, но как я могу решить, насколько важнее ? Например, есть ли эмпирическое правило по установке стоимости активов?
И, наконец, приоритет также кажется довольно произвольным. Существуют ли какие-либо рекомендации или примеры по установке этого значения для любого данного события?
Я хочу повысить чувствительность некоторых событий, но мне кажется, что я беспорядочно нажимаю кнопки, не понимая, какова цель компонентов этого события. уравнение риска.
Приоритет. Насколько срочно следует расследовать событие
Надежность. Вероятность ложного срабатывания события
См. Раздел 3.2 https://www.alienvault.com/doc-repo/usm/security-intelligence/AlienVault_Life_cycle_of_a_log.pdf для получения дополнительной информации.
Я никогда не встречал практических правил для установки значений активов, но я стараюсь использовать:
5: для любого сервера / устройства, которое может получать пакеты из Интернета или имеет незашифрованный доступ к ценным данным ( PCI, банк, PHI, SSN и т. Д.). Или любое устройство управления доменом, сервер LDAP или любое другое устройство служб аутентификации. Устройство VPN
4: Любой сервер базы данных, не подпадающий под вышеуказанное. Серверы приложений Репозиторий исходного кода.
3: Любой другой Prod-сервер или устройства
2: Любые непродовольственные устройства
1: любой сервер или устройство, которые действительно не заботятся о