یکی دیگر از قسمت ها مهم در امنیت شبکه که بایدبه آن توجه زیادی را معطوف ساخت، پاسخگویی به حملات و رویدادهایی است که در شبکه به وقوع پیوسته است. این پاسخگویی با مدیریت وقایع ثبت شده و تحلیل آنها انجام میشود. تحلیل وقایع شبکه و وضعیت شبکه دارای ساختاری به نام ساختار مدیریت ثبت وقایع میباشد.
ساختار مدیریت ثبت وقایع، شامل سختافزار، نرمافزار، شبکهها و رسانه استفاده شده برای تولید، انتقال، ذخیره، تحلیل و مرتب نمودن دادههای ثبتشده میباشد. این ساختار توابعی را برای پشتیبانی از آنالیز و تحلیل وقایع نظیر فیلترینگ، گردآوری، نرمالیزه نمودن، همبستگیسنجی و غیره شامل میشود و همچنین بر دسترسپذیر بودن دادهها و پشتیبانی و نگهداری از گزارشهای ثبتشده از طریق توابعی نظیر parsing، بازبینی، تحلیل و آنالیز، چرخش، آرشیو و نگهداری به همراه تست یکپارچگی فایلها نظارت دارد. این نظارت شامل اجرای مکانیزمهای امنیتی در کلیه مراحل ذکر شده نیز میباشد تا از آسیبپذیریها جلوگیری شود. مکانیزمهای امنیتی نظیر محرمانگی، دسترسپذیری و یکپارچگی دادهها با بررسی نیازمندیهای امنیتی پیادهسازی بومی این سیستم بهدست میآید. انتقال و ارتباطات از طریق پروتکلی با نامsyslog و یا ابزاری با نامSIEM صورت میپذیرد.
معماری ثبت وقایع شامل بخش جمعآوری وقایع و بخش ثبت آنها با فرمت یکسان به همراه مونیتورینگ و تحلیل گزارشهای ثبت شده میباشد. واحد جمعآوری، فرمت وقایع و ذخیره آنها بر اساس دستهبندیهای تعریف شده را انجام میدهد. این گزارشها، شامل اطلاعات و مشخصههای وقایع رخداده در شبکه است. این اطلاعات از طریق تولیدکنندگان وقایع توسط سیستمهای تشخیص نفوذ و با فرمتهای متفاوت به این بخش وارد میشوند و بر اساس سیاستگذاریها و دستهبندیهای انجام شده در یک پایگاه داده با اولویتهای مشخص ذخیره میشوند تا در بخش تحلیل و مونیتورینگ شبکه، مورد ارزیابی و استفاده قرار گیرند.
مونیتورینگ وضعیت شبکه شامل مونیتورینگ فعالیت ابزار و تجهیزات نصب شده در شبکه و همچنین شامل مونیتورینگ گزارشها و پیامهای ارسال شده میباشد. روشهای فعال و غیرفعال برای مونیتورینگ تعریف شده است. اما مونیتورینگی که در واحد ثبت وقایع به منظور تولید پاسخهای مناسب انجام میپذیرد، به صورت فعال و یا بلادرنگ است.
مونیتورینگی که به صورت غیرفعال بر روی گزارشهای ارسالی از ابزار انجام میپذیرد، مدیریت اجرایی درون بخش ثبت وقایع را برعهده دارد. این مونیتورینگ بر اساس سیاستگذاریهای تعیین شده، سطح و اولویت دادههای ذخیره شده در پایگاه داده، مقدار داده منسوب به هر واقعه و سایر الزامات، عملیات انتقال و ذخیره واقعه در پایگاه داده را انجام میدهد.
