事件跟踪

作者: Threathunter | 来源:发表于2020-06-21 09:22 被阅读0次

来源：http://veriscommunity.net/incident-track.html

本节获取关于该事件的一般信息。主要目的是允许组织随着时间的推移识别、存储和检索事件。

一、Incident ID

事件ID

问题文本:事件或案例ID

用户指出:N / A

问题类型:文本字段

变量名:incident_id(字符串)

目的:在一段时间内唯一地识别存储和跟踪事件。

开发者注意:我们建议自动生成id，而不是提示用户创建/提交id。如果您计划与他人共享事件，我们建议您不要将您的org名称作为事件ID的一部分(例如，verizonBreach_00001)。

杂项:N / A

二、Source ID

源ID

问题文本:源或处理程序ID

用户指出:N / A

问题类型:文本字段

变量名:source_id(字符串)

目的:将事件与正在处理或报告事件的实体关联起来。这可能是CERT、执法机构、联盟机构或其他事件数据的保管者/聚合者。如果事件是由受害者处理或报告的，那么这个字段是不必要的(受害_id就足够了)。

开发人员指出:N / A

杂项:N / A

三、Incident confirmation

事件确认

问题文本:这是一次确认的安全事件吗?

用户说明:“安全事件”指任何以任何形式危及(或负面影响)信息资产的安全属性(C-I-A)的事件/事件/发生/问题(或任何)。这是一个刻意宽泛的定义。在假阳性或“近脱险”(不成功的攻击)的情况下，该模式允许您记录所涉及的参与者、动作和资产，而将属性留空(因为赋予一个属性意味着资产受到了负面影响……这将意味着它被限定为一个事件)。

问题类型:枚举列表(单次选择)

变量名:security_incident(字符串;枚举)

Confirmed: Yes - Confirmed

Suspected: Suspected

False positive: False positive (response triggered, but no incident)

Near miss: Near miss (actions did not compromise asset)

目的:

开发人员指出:

杂项:

从怀疑的或已知的非事件中指定已确认的事件。如果需要，可以记录重大(但不成功)攻击的信息，同时保持从事件回滚和报告中删除它的能力(如果需要)。

N/A

四、Incident summary

事件总结

问题文本:请简要介绍该事件。

对于事件中的每个主要事件或阶段，试着表达“谁对谁做了什么/谁做了什么?”“你说得越多越好。例如，考虑以下场景:

"事件1:外部攻击者向受害员工发送钓鱼邮件以获取管理员证书。事件2:员工访问钓鱼邮件中的网络链接，并下载一个键盘记录程序到他们的桌面上。事件3:攻击者使用窃取的凭证通过合法的远程访问软件访问公司网络并搜索敏感数据。事件4:攻击者在网络服务器上安装后门程序和包嗅探器来捕获卡数据并将其存储在本地。事件5:攻击者通过后门返回并窃取数据。”

问题类型:文本字段

变量名:summary(字符串)

目的:虽然VERIS的目的是使用一种结构化的格式来描述事件，但是捕获一种简短的自由形式的叙述仍然非常有用。

开发人员指出:N / A

杂项:N / A

五、Related incidents

网友评论

本文标题：事件跟踪

本文链接：https://www.haomeiwen.com/subject/lyiwxktx.html

延伸阅读

深度阅读

您也可以注册成为美文阅读网的作者，发表您的原创作品、分享您的心情！

事件跟踪

相关文章

网友评论

延伸阅读

深度阅读

栏目导航

热点阅读