Che cos'è un incidente
Nel contesto della sicurezza informatica, un incidente è qualsiasi evento imprevisto o indesiderato che potrebbe causare un'interruzione della normale attività o della sicurezza informatica.
Un evento è caratterizzato da indizi esterni identificati relativamente a uno stato particolare di un sistema, di un servizio o di una rete.
Nella struttura di questa soluzione Kaspersky MDR, il criterio principale per decidere se l'attività osservata sia un incidente è la capacità di implementare misure efficaci per contrastare, prevenire o ridurre i possibili danni risultanti da questa attività. Vedere la tabella seguente per esempi di possibili criteri di incidente e misure di reazione a seconda dell'origine dell'evento.
Esempi di criteri di rilevamento degli incidenti e misure di reazione
Origine dell'evento |
Possibili criteri per l'incidente |
Possibili reazioni per l'incidente |
---|---|---|
Dispositivo endpoint |
|
|
Dispositivo endpoint + rete |
Evento di sicurezza proveniente dalla tecnologia di rilevamento della rete supportata, confermato sul dispositivo endpoint |
|
Scenari di rilevamento incidente
Scenario 1. Rilevamento degli incidenti con la soluzione Kaspersky MDR
In questo scenario, viene rilevato un incidente di sicurezza informatica a seguito del funzionamento di Kaspersky MDR. L'incidente viene registrato automaticamente nel sistema di monitoraggio degli incidenti. Il livello di priorità dell'incidente predefinito può essere modificato in seguito, ma sarà necessario specificare il motivo della modifica in base alla tabella del livello di priorità dell'incidente (vedere di seguito). Kaspersky MDR elabora gli eventi registrati per ottenere tempestivamente informazioni sullo stato dell'infrastruttura informatica del cliente.
Se le cause principali dell'incidente vengono identificate come risultato dell'analisi, vengono fornite raccomandazioni di reazione al cliente. Se non sono disponibili informazioni sufficienti per identificare la causa principale dell'incidente, tutte le informazioni disponibili e i risultati dell'analisi vengono forniti al cliente per una ricerca indipendente.
Scenario 2. Rilevamento degli incidenti da parte del cliente (la creazione di incidenti personalizzati non è disponibile in alcuni livelli della licenza commerciale)
In questo scenario, il cliente rileva un incidente di sicurezza informatica, indipendentemente dal funzionamento di Kaspersky MDR. Se l'incidente deve essere elaborato da Kaspersky MDR, il cliente può registrarlo manualmente e fornire tutte le informazioni disponibili sull'incidente rilevato utilizzando le funzionalità di Kaspersky MDR. Per impostazione predefinita, il livello di priorità dell'incidente è impostato su Basso, se non diversamente specificato dal cliente durante la registrazione dell'incidente.
L'ulteriore elaborazione dell'incidente è simile allo Scenario 1.
Livelli di priorità degli incidenti
Livelli di priorità degli incidenti e relative descrizioni
Livelli di priorità degli incidenti |
Descrizione |
---|---|
Alta |
Incidenti che, secondo l'opinione degli esperti di AO Kaspersky Lab, possono causare gravi interruzioni o accesso non autorizzato alle risorse del cliente monitorate da Kaspersky MDR. Ad esempio, identificazione di tracce di un attacco mirato o di una minaccia sconosciuta che richiedono ulteriori ricerche utilizzando metodi di indagine scientifica digitale. |
Media |
Incidenti che, secondo l'opinione degli esperti di AO Kaspersky Lab, possono influire sull'efficienza o sulle prestazioni delle risorse del cliente monitorate da Kaspersky MDR o possono causare il danneggiamento dei dati monouso. |
Bassa |
Incidenti che, secondo l'opinione degli esperti di AO Kaspersky Lab, non influiscono in modo significativo sull'efficienza o sulle prestazioni delle risorse del cliente monitorate da Kaspersky MDR. Ad esempio, software potenzialmente indesiderato identificato come adware o riskware. |
Il livello di priorità incidenti predefinito è Basso.
Obiettivi prestazionali della forniti dalla soluzione
Tempo di reazione di destinazione e valore della consegna di Kaspersky MDR a seconda della priorità dell'incidente
Livelli di priorità degli incidenti |
Tempo di risposta |
Valore target |
---|---|---|
Alta |
1 ora |
90% |
Media |
4 ore |
90% |
Bassa |
24 ore |
90% |
L'incidente è considerato risolto se al cliente sono state fornite raccomandazioni sulle misure di reazione.
*Il tempo di reazione è il tempo che intercorre tra il rilevamento dell'incidente (ora di creazione) e la sua pubblicazione in Web Console MDR (ora di aggiornamento).
**Il valore target è la percentuale di incidenti nella quale il tempo di reazione soddisfa l'obiettivo indicato nella tabella.
Inizio pagina