DET.6.1.2 — Automatische Alarmierung

Detektion SOLLTE bei sicherheitskritischen Ereignissen eine Alarmierung von für die Vorfallsbehandlung zuständigen Personen oder Rollen durch einen automatisierten Mechanismus ausführen.

Für die Definition eines sicherheitskritischen Ereignisses, siehe Glossar (Namensräume des Grundschutz++). Bewährt hat sich hierzu der Einsatz eines Security Information and Event Management Systems (SIEM), das die Audit Logs verschiedener Hersteller auf Ereignisse überprüfen und diese korrelieren kann. Passen Sie Schwellwerte und Kriterien so an, dass keine Alarmmüdigkeit (alert fatigue) beim Personal aufkommt.

{
  "class": "BSI-Stand-der-Technik-Kernel",
  "id": "DET.6.1.2",
  "links": [
    {
      "href": "#DET.6.1.1",
      "rel": "required"
    }
  ],
  "params": [
    {
      "id": "det.6.1.2-prm1",
      "label": "für die Vorfallsbehandlung zuständigen Personen oder Rollen",
      "props": [
        {
          "name": "alt-identifier",
          "value": "f45e08b7-8f42-469a-aa22-63b93daba60e"
        }
      ]
    },
    {
      "id": "det.6.1.2-prm2",
      "label": "einen automatisierten Mechanismus",
      "props": [
        {
          "name": "alt-identifier",
          "value": "f45e08b7-8f42-469a-aa22-63b93daba60e"
        }
      ]
    }
  ],
  "parts": [
    {
      "id": "DET.6.1.2_stm",
      "name": "statement",
      "props": [
        {
          "name": "documentation",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
          "value": "Detektions-Konzept"
        },
        {
          "name": "result",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
          "value": "bei sicherheitskritischen Ereignissen eine Alarmierung von {{für die Vorfallsbehandlung zuständigen Personen oder Rollen}}"
        },
        {
          "name": "result_specification",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
          "value": "durch {{einen automatisierten Mechanismus}}"
        },
        {
          "name": "action_word",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
          "value": "ausführen"
        },
        {
          "name": "modal_verb",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
          "value": "SOLLTE"
        }
      ],
      "prose": "Detektion SOLLTE bei sicherheitskritischen Ereignissen eine Alarmierung von {{ insert: param, det.6.1.2-prm1 }} durch {{ insert: param, det.6.1.2-prm2 }} ausführen."
    },
    {
      "id": "DET.6.1.2_gdn",
      "name": "guidance",
      "prose": "Für die Definition eines sicherheitskritischen Ereignisses, siehe Glossar (Namensräume des Grundschutz++). Bewährt hat sich hierzu der Einsatz eines Security Information and Event Management Systems (SIEM), das die Audit Logs verschiedener Hersteller auf Ereignisse überprüfen und diese korrelieren kann. Passen Sie Schwellwerte und Kriterien so an, dass keine Alarmmüdigkeit (alert fatigue) beim Personal aufkommt."
    }
  ],
  "props": [
    {
      "name": "alt-identifier",
      "value": "f45e08b7-8f42-469a-aa22-63b93daba60e"
    },
    {
      "name": "sec_level",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
      "value": "normal-SdT"
    },
    {
      "name": "effort_level",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
      "value": "3"
    }
  ],
  "title": "Automatische Alarmierung"
}