Рубрикатор |
Блоги | Алексей ЛУКАЦКИЙ |
Дашборды по ИБ для руководства: как получить финальный вариант?
14 мая 2018 |
В качестве примера я возьму то, что мне ближе, - решения Cisco (Cisco ISE, Cisco Stealthwatch, Cisco Threat Grid и Cisco Cognitive Threat Analytics). Посмотрите на иллюстрацию ниже. Мы видим, что все дашборды построены по описанному вчера принципу - сначала ключевые показатели, потом аналитические диаграммы, раскрывающие эти показатели. Клик по выбранным диаграммам приводит к детальным отчетам. Все вроде бы на месте, но можем ли мы такие дашборды показывать руководству? Увы, нет. Ибо они не отвечают на вопросы, которые нужны топ-менеджменту.
Давайте посмотрим на макет дашборда, который помог бы нам оценить эффективность процесса борьбы со спамом (именно процесса, а не программного средства). Нам нужно число пользователей, прошедших тренинг по использованию и защите электронной почты. Эти цифры можно взять только из HRM-системы. Данные о числе пользователей, сообщивших о пропущенном антиспамом спаме, вредоносной программе или фишинговой ссылке, нам даст Help Desk или система управления кейсами. И только число нарушителей, кликнувших по ссылке в спаме, мы можем получить непосредственно от антиспам-решения.
Чтобы вынести все эти показатели на дашборд нам нужно их каким-то
образом выцепить из разных систем, собрать вместе, произвести
дополнительные вычисления (например, рейтинг успешности повышения
осведомленности в области использования и защиты e-mail) и
визуализировать все это в рамках дашборда. Для этого нам понадобится
взять "сырые" данные от средств защиты и данные от бизнес-систем (HRM,
SCM, ERP, CRM и т.п.), для чего воспользоваться API, которое сегодня
является неотьемлемой частью любого современного решения по ИБ (и не
только). Помните, я в прошлом году писал
о пяти вещах, которые вы должны требовать от любого ИБ-вендора. Так вот
наличие API там стояло там на первом месте. Для захвата данных через
API необходимо умение программировать. Сразу надо заметить, что речь
идет не о "кодинге" на C++ или Ассемблере, а о навыках извлекать данные
из разных систем. Будет это ODBC, JDBC, Visual Basic или Python и R, -
не так уж и важно.
Что использовать в качестве инструмента для создания и визуализации
дашборда? Этот вопрос звучит чаще других, но именно он-то совсем
неважен. В конце концов, какая разница, что позволит вам решить вашу
задачу? С чем вы лучше знакомы и что используется у вас в организации -
то и применяйте. Это может быть Excel (для простых задач вполне себе
решение), MS PowerBI, Tableau, QlikView или grafana. В конце концов вы
можете заточить под это ваш SIEM, если у него есть возможность
конструирования дашбордов и развитый API для подключения к внешним
системам. Я вновь повторю, что не так важно КАК визуализировать, как то,
ЧТО вы хотите показать и ЧЕГО достичь своим дашбордом.
Источник:
Источник:
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.