Термін — Alert

2025-05-22 18:44
bga68comp: (Default)
[personal profile] bga68comp

Питання:
— Alerts — це події?

Ні, alerts (тривоги, сигнали, оповіщення) — це не події (events), а реакція SIEM на події.

Ось чітке розмежування:

Термін Українською Що це таке Приклад
Event Подія Будь-який факт, зафіксований системою: логін, відкриття порту, запуск процесу тощо. Успішний логін користувача до AD
Log Журнал (запис) Текстовий запис події з технічними деталями (час, IP, користувач тощо). 2025-05-22 18:03:12 user:admin login success from 192.168.1.10
Alert Тривога / сигнал Автоматично або вручну створене повідомлення, яке вказує на потенційно шкідливу або аномальну активність, на основі подій. "Підозрілий логін о 3:00 ночі з іншої країни"

🔁 Взаємозв’язок:
  1. Події (events)
  2. Журнали (logs)
  3. Обробка (normalization)
  4. Кореляція (correlation rules)
  5. Створення alert-ів (за певними умовами)
🔎 Приклад:
  • Подія: "10 невдалих логінів поспіль".
  • Подія: "Потім один успішний логін з іншого регіону".
  • Alert: "Можливе brute-force проникнення реагувати!"
🔧 Підсумок:
  • Подія — це факт.
  • Alert — це висновок SIEM, що цей факт (або комбінація фактів) може свідчити про інцидент.

Тому AlertЗастереження (Найкращий баланс між "сповіщенням" і "тривогою")


Tags:
  • Add Memory
  • Share This Entry
This account has disabled anonymous posting.
If you don't have an account you can create one now.
HTML doesn't work in the subject.
More info about formatting
 
Notice: This account is set to log the IP addresses of everyone who comments.
Links will be displayed as unclickable URLs to help prevent spam.

Profile

bga68comp: (Default)
bga68comp

December 2025

S M T W T F S
  12 3 456
7891011 1213
14151617181920
21222324252627
28293031   

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated 2026-01-08 08:25
Powered by Dreamwidth Studios