Korelacja zdarzeń to sposób analizowania i nadzorowania zdarzeń oraz logowań przeprowadzanych podczas sesji komputerowych. To monitorowanie aktywności ma kluczowe znaczenie dla bezpieczeństwa komputerowego. Może również identyfikować błędy operacyjne i defekty, które mogą utrudniać działanie komputera. Jest to również czasami określane jako zarządzanie incydentami.
Szczególnie przydatne lub niezbędne dla firm jest korzystanie z pewnego rodzaju systemu śledzenia problemów w swoich sieciach komputerowych. Zarządzanie problemami stało się konieczne, ponieważ sieci komputerowe stały się powszechne. Jest to podstawowy system analizy przyczyn źródłowych, który może wskazywać na podejrzane działania.
Oprócz pomocy w śledzeniu problemów związanych z bezpieczeństwem, korelacja zdarzeń może zapewnić sposób na zlokalizowanie błędów i innych problemów sprzętowych. Może to wskazywać, jak działają komputerowe systemy operacyjne i jak określone zdarzenia mają bezpośredni wpływ na działanie komputera. Kolejnym krokiem w korelacji zdarzeń jest to, że serwery, które są używane na co dzień, prowadzą bieżącą rejestrację działań. Te dane można później zbadać, aby pomóc w zlokalizowaniu problemów z systemem lub siecią.
Skutecznym składnikiem korelacji zdarzeń mogą być również zabezpieczenia komputera, takie jak zapora sieciowa. Jeśli detektor zapory sieciowej wykryje podejrzaną aktywność lub ruch na komputerze, zostanie odnotowane konto takiej aktywności. Zapory sieciowe blokują również podejrzaną aktywność lub intruzom dostęp do komputera.
Korelacja zdarzeń jako program zarządzania może być skutecznym sposobem na wydajniejsze działanie sieci. Programy korelacji zdarzeń to zautomatyzowany sposób zapobiegania utracie przychodów i ochrony przed zagrożeniami bezpieczeństwa. Ponieważ te funkcje są wykonywane przez maszyny, firma może poświęcić mniej siły roboczej na monitorowanie spraw.
Zapisy dzienników w programie korelacji mogą również filtrować, a następnie archiwizować raporty o incydentach. Wadą korelacji zdarzeń jest jednak to, że ten rodzaj systemu monitorowania wymaga dużej wiedzy do odszyfrowania. Analiza logów również odgrywa integralną rolę w tym procesie.
Proces korelowania zdarzeń składa się z kilku etapów. Cały proces korelacji zdarzeń jest zazwyczaj podzielony na kilka podpowiedzi organizacyjnych. Pierwsza miara zazwyczaj określa czas wystąpienia zdarzenia. Następne polecenie spróbuje ustalić opis samego zdarzenia. Serwer zostanie również wyświetlony. Wszelkie programy i aplikacje, które mogły zostać zmodyfikowane, również zostaną odnotowane.