даного застережливого події, при поєднанні або послідовності ряду подій - відхилень, одиночному, але що має дуже серйозні для замовника наслідки, відхиленні.
Приклади того, що може використовувати Correlation Engine для оцінки:
· кількість схожих подій (наприклад, велика кількість спроб неправильного введення пароля може свідчити про спробу злому пристрою);
· кількість конфігураційних одиниць, що генерують схожі події;
· супроводжують чи подія які-небудь специфічні дії з даними або кодом;
· чи є подія відхиленням;
· категорія події;
· призначення пріоритету події і т.п.
Механізм, який ініціює відповідні дії, називається тригером. Існує безліч типів тригерів, кожен з яких спроектований для ініціалізації конкретних дій. Наприклад:
· Тригери інцидентів, які формують запис в Системі управління інцидентами і, відповідно, запускають процес Управління інцидентами;
· Тригери змін, які формують RFC та ініціюють процес Управління змінами;
· Скрипти, які виконують певні дії, наприклад, перезавантаження пристрою;
· Тригери баз даних, які обмежують доступ користувачів до певних областях бази або видаляють/створюють записи в ній.
Наступний етап - вибір відповідних дій. Існує безліч варіантів дій у відповідь, які при цьому можуть комбінуватися.
Нижче наведені приклади варіантів дій у відповідь.
Незалежно від того, яке у відповідь дію буде вибрано, хорошою практикою є формування записи про подію в балці. Повинна бути стандартна процедура для операційного персоналу, що передбачає періодичний аналіз логів, а також чіткі інструкції про те, як використовувати конкретний лог. Також необхідно пам'ятати про те, що інформація в логах може не мати значення до виникнення інциденту. В рамках Управління подіями потрібно визначити період зберігання логів перед тим, як вони будуть архівовані або видалені.
Для регулярних і зрозумілих подій можна розробити автоматичні відповідні дії. Тригер запустить їх і потім перевірить результат виконання. Якщо щось пішло не так, буде сформована запис про проблему або інцидент. Прикладами автоматичних відповідних дій можуть бути:
· перезавантаження пристрою;
· повторний запуск послуги;
· зміна параметра пристрою;
· блокування програми для запобігання несанкціонованого доступу і т.п.
Алерт (попередження) і втручання людей. Алерт служить для повідомлення про подію людей, які мають необхідні навички і знання для його дозволу. При цьому Алерт повинен містити якомога повнішу інформацію про подію, на підставі якої людина зможе прийняти правильне рішення.
Створення Запиту на зміну (RFC). В Управлінні подіями є дві точки, де можуть бути створені RFC:
при виникненні відхилення. Наприклад, перевірка комп'ютера показала, що на ньому встановлено трьох неавторизованих додатки. У цьому випадку необхідно сформувати RFC, який допоможе процесу Управління змінами усунути відхилення.
на етапі кореляції було визначено необхідність зміни. В даному випадку на етапі кореляції визначається, що найбільш підходящим відповідною дією буде зміна чогось.
Створення запису про інцидент. Якщо Correlation Engine визначає те, що певний набір подій є інцидентом, створюється запис про інцидент. Запис про інцидент повинна бути максимально повною і відображати зв'язки з усіма подіями, які належать до інциденту.
Створення запису про Проблемі або формування зв'язку з уже наявною записом. Інциденти зазвичай пов'язані з певними записами про проблеми. При виникненні інциденту важливо пов'язати його з відповідним записом про проблему, а якщо такої немає - створити її.
Особливі типи інцидентів. У деяких випадках подія може бути відхиленням, але при цьому не впливати безпосередньо на послуги. Такі інциденти не включаються до розрахунку часу простою і ставляться скоріше з проблемам операційного характеру. Інформація про них повинна бути записана в відповідний лог і передана персоналу, який розбирається з інцидентами цього типу.
Кожен день може відбуватися десятки і сотні подій і найчастіше неможливо детально розглядати кожну подію. Оглядові дії призначені для перевірки того, як були відпрацьовані інциденти, що не пропущені чи якісь події, збору статистичних даних і т.п. При цьому оглядові дії не повинні повторювати те, що було зроблено до цього.
Метрики, які можна вико...
