Dunia network security monitoring sangat memperhatikan indicator dan warning. Bedasarkan definisi dari network security monitoring, indicator dikumpulkan dan dianalisa, dan warning di eskalasi. Dalam network security monitoring, setiap pekerjaan ditangani oleh komponen yang berbeda-beda.
Pengumpulan indicator dilakukan oleh product. Produk di sini adalah software dan atau perangkat yang bertujuan untuk menganalisa packet-packet pada network. Contohnya adalah, Nmap, Firewall, Switch, Wireshark, dll. Produk-produk dibutuhkan pada network berkecepatan tingggi karena manusia tidak dapat menginterpretasikan traffic tanpa bantuan produk-produk tersebut.
Manusia melakukan analisa. Meskipun produk-produk mampu membuat kesimpulan mengenai traffic yang "dilihat", manusia tetap dibutuhkan untuk memberikan konteks. Untuk mendapatkan konteks, dibutuhkan penempatan output dari produk dalam sudut pandang yang tepat. Karena beberapa produk dapat dimodifikasi dengan mudah, banyak orang yang melengkapi kekurangan yang ada pada sebuah software. Adanya kekurangan pada sebuah produk, bukanlah kesalahan dari pengembang produk tersebut. Pengembang software tidak akan mungkin dapat memenuhi kebutuhan semua user, karena memang lingkungan user yang berbeda-beda. Di sisi lain, hal ini dapat mendorong dunia open source. Karena bebas dimodifikasi oleh end user, software open source sangat tepat untuk di ubah sesuai dengan kebutuhan. Sama halnya dengan produk yang harus disesuaikan dengan environtment lokal, administrator monitoring juga harus ditraining untuk dapat memahami informasi yang dihasilkan oleh produk yang dipakai.
Eskalasi "dibimbing" oleh proses. Eskalasi adalah membawa informasi agar lebih diperhatikan oleh pihak yang pembuat keputusan. Pembuat keputusan adalah orang yang memiliki kewenangan, tanggung jawab, dan kemampuan untuk merespon insiden potensial. Tanpa eskalasi, deteksi seperti tidak berguna. Untuk apa mendeteksi apabila tidak ada orang yang bertanggung jawab untuk merespon?
Sumber:
The Tao of Network Security Monitoring: Beyond Intrusion Detection
Tweet
Tidak ada komentar:
Posting Komentar