Em um ambiente complexo de TI, conseguir monitorar todos os dispositivos da rede para entender seu uso, e consequentemente garantir que não há uma sobrecarga sobre eles, se torna quase impossível.
A geração de alertas é um meio de simplificar este processo. Sempre que uma infraestrutura crítica estiver apresentando uma sobrecarga, um uso acima ou abaixo do normal, entender o motivo que levou a isso é importante para evitar um colapso.
É neste contexto que o threshold é aplicado. Neste artigo, explicaremos o que ele é e como auxilia a TI.
Threshold: o que é?
Em tradução livre, threshold significa “limite”. Ele é um valor determinado, de máximo e mínimo, do desempenho de alguns elementos críticos da tecnologia da informação, como consumo da CPU, da memória, número de arquivos baixados, tentativas de login, entre outros.
A partir dele, que é o padrão considerado normal, o que estiver acima ou abaixo, será considerado uma anomalia, assim soando um alerta. Por exemplo, dentro da sua empresa, o limite para o funcionário X fazer tentativas de login é de no máximo 4 vezes. Se ele tentar 5 vezes, será considerado anormal e a equipe será avisada com um alerta.
É importante lembrar que este recurso varia de acordo com o que está sendo monitorado, assim como o setor. Algumas áreas da empresa podem consumir muito mais uma determinada infraestrutura do que outra, por isso, é necessário que os administradores saibam determinar os valores base de mínimo e máximo.
A seguir, exploraremos quais são seus tipos.
Quais são os tipos de threshold?
Há dois modelos que são conhecidos e usados, apesar de um deles estar caindo em desuso por um que possui mais vantagens. Entenda a diferença entre eles.
Threshold estático : modelo manual
O threshold estático possui um valor fixo e é definido pelo administrador. Neste caso, para que um novo limite seja definido devido a alguma mudança de parâmetro, deve ser feito de forma manual por alguém da equipe com a credencial correta.
Este tipo de threshold é mais adequado para ser aplicado em métricas que não tendem a ter uma grande variação com o tempo, possuindo pouca flexibilidade.
Porém, o modelo estático é muito mais trabalhoso para os administradores, pois requer que os ajustes sejam feitos de forma manual, o que toma muito tempo, especialmente se há vários dispositivos e thresholds diferentes para serem definidos.
Entre outros desafios que ele apresenta, há o gasto de tempo e recursos que poderiam estar sendo melhor alocados em outras atividades, a mudança constante de acordo com o desempenho e o espaço para erro manual.
Threshold dinâmico: aprendizado com o ambiente
Com o avanço da tecnologia e da IA, foi possível fazer avanços com o threshold e ultrapassar suas limitações.
A partir do machine learning e análise comportamental, o threshold dinâmico (ou adaptativo) aprende com base no comportamento da linha de base que lhe será cedida. A partir destes dados, determinará o um padrão que serão os números assumidos pelo threshold.
A vantagem deste modelo é que o administrador não precisará se preocupar em inserir informações e determinar o padrão manualmente. Ele analisa as métricas em tempo real, portanto consegue se adaptar se um novo comportamento é estabelecido sem gerar alertas desnecessários.
Além disso, facilita o trabalho dos colaborados por ser mais fácil e rápido, não há necessidade de analisar os desempenhos anteriores e por ser automatizado, diminui as chances de erros.
A importância do threshold adaptativo
Com a transformação digital, a tecnologia parece ter dominado as empresas. A digitalização faz parte de todos os setores e, consequentemente, a equipe de TI tem muito mais equipamentos para cuidar. Se antes o threshold manual já era trabalhoso e tinha margem para erros, hoje tomou proporções muito maiores.
Outro fator são os ataques cibernéticos, que também aumentaram, com novas táticas sendo utilizadas. Ciberataques afetam a infraestrutura da TI e ferramentas SIEM com recurso threshold podem se tornar mais eficazes com alertas de anomalias que podem ser captados para detectar ataques em seus estágios iniciais.
Portanto, o modelo adaptativo é muito mais efetivo para detecção de ameaças, automação e desempenho adequado do ambiente por serem mais assertivos e em tempo real, promovendo uma segurança mais robusta.
Theshold adaptativo com a ManageEngine
A ManageEngine possui soluções com threshold adapativo pensando em como melhorar o monitoramento do ambiente para os administradores de TI.
O OpManager Plus monitora os dispositivos de rede com este recurso para manter os níveis ideais para garantir o melhor uso deles, com configurações de alertas para detecção de vulnerabilidades ou anomalias na rede.
Para a cibersegurança, o Log360 é uma solução SIEM completa, com gestão de logs, detecção e resposta a incidentes e tecnologia de machine learning, que possibilita o threshold adaptativo gerar alertas em tempo real.
E para saber mais sobre as vantagens sobre este modelo para segurança cibernética, confira este whitepaper.
