Automatisierung von Incident-Response-Prozessen

Abstract

Das Ziel dieser Arbeit ist es, darzulegen, wie eine Automatisierung von Incident-Response-Prozessen möglich sein kann. Dies wird beispielhaft an den Prozessen der HAW Hamburg aufgezeigt. Hierzu wurden eingehende Warnmeldungen über einen Zeitraum von etwa acht Monaten betrachtet. Für diese Warnmeldungen wurden Filteroptionen konzipiert, die irrelevante Meldungen herausfiltern und die übrigen Meldungen priorisieren. Für die restlichen Warnmeldungen wurden zudem Prozessdiagramme erstellt, die die nötigen Reaktionen auf Warnmeldungen zeigen und sich an den vor dieser Arbeit bestehenden, generischen Incident-Handling-Prozess der HAW Hamburg anschließen und diesen erweitern. Die Dezimierung an manuell zu bearbeitenden Warnmeldungen, die sich aus den erarbeiteten Filtern ergibt, birgt derartig weitreichende Implikationen, dass aus einer erfolgreichen Implementierung der vorgeschlagenen Filter eine komplette Transformation des zugrundeliegenden Prozesses resultiert.

The aim of this thesis is to show how the automation of incident response processes can be approached. This is demonstrated using the processes of the HAW Hamburg as an example. This involved examining the incoming alerts spanning a period of eight months. Filter options were developed for these alerts to filter out irrelevant alerts and prioritize the remaining alerts. For these remaining alerts, process diagrams were also created that show the necessary reactions to alerts and are aligned with and extend the existing generic incident handling process of the HAW Hamburg that existed prior to this work. The decimation of manually processed alerts resulting from the developed filters has such far-ranging implications that a successful implementation of the proposed filters would result in a complete transformation of the underlying process.