Öncelikle bu konuda çok kafa karıştıran bir soru ile başlamak istiyorum. Alert ile Incident farkı nedir? Temel fark aslında Incident yani olay, bir den çok alert yani uyarı grubunun bir arada kullanıldığı ve aksiyon almanız gereken, çözmeniz ve araştırmanız gereken olaylara verilen isimdir. Özetle logları toplayan bir SIEM için bayrak kaldırma diyebiliriz. Alert, yani uyarılar aslen bu tür olayları raporlamak için kullanılır.
Olaylar, birlikte araştırabileceğiniz, çözebileceğiniz, eyleme geçirilebilir olası bir tehdit oluşturan birden çok uyarının oluşturduğu uyarı gruplarlarına verilen isimdir. Özetle pek çok kaynaktan veri toplayan sentinel bunları anlamlandırarak bayrak kaldırabilir. Çok bilinen bir senaryo,
personel şirkete fiziksel olarak gelmiyor, kapı geçiş sisteminde kart okutması yok, vpn loglarında vpn yaptığına dair bir log yok anca local logon event id ile bir logon işlemi yakalanıyor, bu uyarı hızlıca bir olaya dönüştürülmeli çünkü anormal bir durum var.