Jak mogą wyglądać zdarzenia wymagające interwencji? Oto kilka przykładów:

*Jeśli zmieniliśmy nazwę konta administratora (najczęściej konto to w ogóle nie jest używane), każda próba logowania się jako administrator powinna wyzwolić alert.

*Jeśli serwer A nigdy nie powinien łączyć się z serwerem B, to jeśli się połączą - powinniśmy o tym wiedzieć.

*Jeśli ruch między punktami A i B zwykle nie przekracza 1 GB dziennie, to jego znaczny wzrost zasługuję na uwagę administratora.

*Jeśli firma nigdy nie przesyła danych do Chin, jeśli nagle zaczną tam wędrować gigabajty danych, to powinniśmy o tym wiedzieć.

*Jeśli korzystamy z RDP na niestandardowym porcie (np. 63389 zamiast 3389), powinniśmy zostać powiadomieni, kiedy ktoś będzie się łączył na port 3389.

*Jeśli pracownicy w danej lokalizacji nigdy nie pracują w nocy, to jeśli ktoś zaloguje się o północy, administratorzy powinni się o tym dowiedzieć

*Bez sensu byłoby śledzić wszystkie logowania członków grupy Domain Admins, ale powinniśmy wiedzieć o dodaniu do niej nowych.

Jak wspomnieliśmy, idea rozwiązania polega na gromadzeniu zdarzeń, co do których jesteśmy pewni, że wymagają działań ze strony administratora. Być może w ten sposób nie powstanie system doskonały, wychwytujący wszystko co powinien, ale za to będzie miał jedną ogromną zaletę - zamiast zasypywać bezużytecznymi ostrzeżeniami, będzie informował tylko i wyłącznie o tym co nie powinno mieć miejsca w naszej sieci.

Polecamy Rozwiązania do zarządzania logami

Co jeśli wytypowane przez nas typy zdarzeń dalej owocują licznymi niepotrzebnymi ostrzeżeniami? Odpowiedź jest prosta - wybraliśmy złe zdarzenia. Ekspert radzi, by typować tylko te w 100% dotyczące szkodliwych działań. Nie oznacza to jednak, że w naszą pułapkę złapiemy od razu hakera. Możemy dowiedzieć się np., że administrator SQL "zwiedzał" serwery SQL, którymi nie miał powodów się zajmować, albo użytkownik próbował zalogować się za pomocą RDP do serwera. Takich zdarzeń nie określimy jednak mianem fałszywych alarmów.

Polecamy Spokojnie, to tylko awaria!

Jeśli złapiemy kilka osób na robieniu w naszej sieci tego, czego nie powinny, o systemie monitorowania zaczną krążyć legendy. Prócz systemu, który zamiast zasypywać zdarzeniami ostrzega o tym co wymaga interwencji, zyskamy też uznanie użytkowników (i być może szefa), co może przełożyć się na zawartość portfela.