Використання контекстної інформації для аналізу логів агентами SIEM
Ключові слова:
аналіз контекстної інформації, безпекаАнотація
Використання контекстної інформації для аналізу логів агентами SIEM сприяє покращенню їх роботи. Розглянуто проблеми, пов’язані з нестачею інформації про процеси корпоративної мережі, та запропоновано методи вирішення через аналіз контексту. Зокрема, розглянуто алгоритми контекстуальної фільтрації та пріоритезації з використанням індексу довіри Демпстера–Шафера. Такий підхід дає змогу оптимізувати роботу системи шляхом зменшення непотрібних перевірок та фальшивих спрацювань сповіщень безпеки.
Посилання
Dorigo S. Radboud University Nijmegen Security Information and Event Management Master Thesis, 2012.
Bhatt S., Manadhata P., Zomlot L. The Operational Role of Security Information and Event Management Systems. Security & Privacy, IEEE. 2014. № 12. P 35–41.
Cinque M., Della Corte R., Pecchia A. Contextual filtering and prioritization of computer application logs for security situational awareness. Future Generation Computer Systems. 2019. № 111. P. 668–680.
Prioritizing intrusion analysis using Dempster-Shafer theory / L. Zomlot, S. C. Sundaramurthy, K. Luo, X. Ou, S. Rajagopalan. Proceedings of the ACM Conference on Computer and Communications Security, 2011. October 2011. P. 59–70.