Термін — Alert
2025-05-22 18:44![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
bga68compПитання:
— Alerts — це події?
Ні, alerts (тривоги, сигнали, оповіщення) — це не події (events), а реакція SIEM на події.
Ось чітке розмежування:
| Термін | Українською | Що це таке | Приклад |
|---|---|---|---|
| Event | Подія | Будь-який факт, зафіксований системою: логін, відкриття порту, запуск процесу тощо. | Успішний логін користувача до AD |
| Log | Журнал (запис) | Текстовий запис події з технічними деталями (час, IP, користувач тощо). | 2025-05-22 18:03:12 user:admin login success from 192.168.1.10 |
| Alert | Тривога / сигнал | Автоматично або вручну створене повідомлення, яке вказує на потенційно шкідливу або аномальну активність, на основі подій. | "Підозрілий логін о 3:00 ночі з іншої країни" |
🔁 Взаємозв’язок:
- Події (events) →
- Журнали (logs) →
- Обробка (normalization) →
- Кореляція (correlation rules) →
- Створення alert-ів (за певними умовами)
- Подія: "10 невдалих логінів поспіль".
- Подія: "Потім один успішний логін з іншого регіону".
- Alert: "Можливе brute-force проникнення → реагувати!"
- Подія — це факт.
- Alert — це висновок SIEM, що цей факт (або комбінація фактів) може свідчити про інцидент.
Tags:
