◇BP.08.01分析事件記錄

檢測并分析安全相關(guān)性信息的歷史和事件記錄（包括日志記錄），以確定一個事件的原因，它怎樣發(fā)展以及將來可能的事件。通過多條記錄中的相關(guān)事件所用元素，應(yīng)該臺旨識別出感興趣的事件。多條事件記錄可以融和為一條事件記錄。

工作產(chǎn)品示例：

(1)描述每個事件——識別出每個探測到的事件的來源、影響和重要性。 (2)建立日志記錄和來源——從各種來源生成安全相關(guān)事件的記錄。

(3)事件標(biāo)識參數(shù)——描述事件是否由系統(tǒng)的各個部分進(jìn)行收集。

(4)列出所有目前的單個日志記錄報警狀態(tài)——標(biāo)識根據(jù)單個日志記錄采取行動的所有要求。

(5)列出所有目前的單個事件報警狀態(tài)——找出根據(jù)事件采取行動的所有要求，這些事件由多個日志記錄形成。

(6)定期報告已出現(xiàn)的所有報警狀態(tài)——將從多個系統(tǒng)得到的報警列表進(jìn)行綜合處理并作初步分析。

(7)日志分析和歸納——對最近出現(xiàn)的報警進(jìn)行分析歸納。

這里需要注意的是：

( 1)許多審計記錄可能包含與單個事件有關(guān)的信息。在分布式網(wǎng)絡(luò)化環(huán)境中尤其如此。一個事件在跨越網(wǎng)絡(luò)多個位置時常常留下蹤跡。為了保證單獨的記錄對于完整地理解事件及其行為是有價值和有貢獻(xiàn)的，單獨的日志記錄需要進(jìn)行組合或融和為單個的事件記錄。

(2)可以對單個記錄和多個記錄進(jìn)行分析。對相同類型的多個記錄分析經(jīng)常使用統(tǒng)計或趨勢分析技術(shù)。雖然通常是對相同類型事件進(jìn)行多事件記錄，但也可以根據(jù)日志記錄和事件（融和）記錄對不同類型的多個記錄進(jìn)行分析。

(3)報警，即基于單個事件的偶然行動需求，應(yīng)該根據(jù)日志記錄和融和的事件記錄來確定。分析也包括來自于開發(fā)環(huán)境的日志和事件記錄。