◇BP.08.01分析事件記錄

檢測并分析安全相關性信息的歷史和事件記錄（包括日志記錄），以確定一個事件的原因，它怎樣發展以及將來可能的事件。通過多條記錄中的相關事件所用元素，應該臺旨識別出感興趣的事件。多條事件記錄可以融和為一條事件記錄。

工作產品示例：

(1)描述每個事件——識別出每個探測到的事件的來源、影響和重要性。 (2)建立日志記錄和來源——從各種來源生成安全相關事件的記錄。

(3)事件標識參數——描述事件是否由系統的各個部分進行收集。

(4)列出所有目前的單個日志記錄報警狀態——標識根據單個日志記錄采取行動的所有要求。

(5)列出所有目前的單個事件報警狀態——找出根據事件采取行動的所有要求，這些事件由多個日志記錄形成。

(6)定期報告已出現的所有報警狀態——將從多個系統得到的報警列表進行綜合處理并作初步分析。

(7)日志分析和歸納——對最近出現的報警進行分析歸納。

這里需要注意的是：

( 1)許多審計記錄可能包含與單個事件有關的信息。在分布式網絡化環境中尤其如此。一個事件在跨越網絡多個位置時常常留下蹤跡。為了保證單獨的記錄對于完整地理解事件及其行為是有價值和有貢獻的，單獨的日志記錄需要進行組合或融和為單個的事件記錄。

(2)可以對單個記錄和多個記錄進行分析。對相同類型的多個記錄分析經常使用統計或趨勢分析技術。雖然通常是對相同類型事件進行多事件記錄，但也可以根據日志記錄和事件（融和）記錄對不同類型的多個記錄進行分析。

(3)報警，即基于單個事件的偶然行動需求，應該根據日志記錄和融和的事件記錄來確定。分析也包括來自于開發環境的日志和事件記錄。