Analytics
Attraverso l’approccio Analytics, NOX permette di tenere sotto controllo grandi quantità di dati in tempo reale. I dati inviati da qualsiasi sistema monitorato, vengono a loro volta resi aggregabili e indicizzabili al fine di rilevare tempestivamente intrusioni, violazioni e comportamenti anomali nelle varie infrastrutture, in modo da salvaguardare l’immagine e il brand della vostra azienda.
Classificazione di gravità.
| INdice di gravità | evento | azione da eseguire |
|---|---|---|
| 0 | Ignored | Nessuna azione necessaria. Questo livello serve ad evitare falsi positivi. |
| 2 | System low priority notification | Messaggio di sistema. Non ha rilevanza in ambito Cyber. |
| 3 | Successful/Authorized events | Questo include login autorizzati ed eventi di sistema. |
| 4 | System low priority error | Errori rilevata sulla base dell’utilizzo software e configurazioni inusuali. |
| 5 | User generated error | Login falliti o eventi proiettati sull’utente. |
| 6 | Low relevance attack | Questo indica che si è attivato un malware latente che non ha effetto sull’infrastruttura. |
| 7 | “Bad word” matching | Eventi di errori che possono acquisire rilevanza in ambito Cyber se accumulati. |
| 8 | First time seen | Include azioni di ingresso / persistenza. Potrebbe essere uno sniffer o un attacco persistente. |
| 9 | Error from invalid source | Include tentativi di intrusione da parte di sorgenti non autorizzata. è un grave alert specie se ripetuto. |
| 10 | Multiple user generated errors | Probabile tentativo di brute forcing. |
| 11 | Integrity checking warning | Questi includono messaggi riguardanti la modifica dei binari o la presenza di rootkit (tramite Rootcheck). Questi possono indicare un attacco riuscito. Sono inclusi anche eventi IDS che verranno ignorati (numero elevato di ripetizioni). |
| 12 | High importance event | Questi includono messaggi di errore o di avviso dal sistema, dal kernel, ecc. Questi possono indicare un attacco contro un’applicazione specifica. |
| 13 | Unusual error (high importance) | La maggior parte delle volte corrisponde a un modello di attacco comune. |
| 14 | High importance security event | Per questo evento viene scatenata la correlazione. Riguarda un attacco persistente scatentato. |
| 15 | Severe attack | Immediata azione necessaria. Nessuna possibilità di falso positivo. |
