Olá pessoal, tudo certo?
O assunto de hoje é: SIEM : Security information and event management
O conceito de SIEM surgiu em 1999 e evolui gradativamente com novas funções.
Conhecido pelos nomes: SIEM (Security Information and Event Management), SEM (Security Event Management) ou SIM (Security Information Management) é um conjunto de ferramentas computacionais, processos e procedimentos com a finalidade de coletar, armazenar, processar, monitorar e correlacionar logs de outros sistemas de informação.
Uma solução SIEM permite que os eventos gerados por diversas aplicações de segurança (tais como firewalls, proxies, sistemas de prevenção a intrusão (IPS) e
antivírus sejam coletados, normalizados, armazenados e correlacionados; o que possibilita uma rápida identificação e resposta aos incidentes.
Tecnologia SIEM fornece uma análise em tempo real de alertas de segurança gerados por hardware e aplicações de rede.
Características:
Acesso em tempo real, centralizado e consistente a todos os logs e eventos de segurança, independente do tipo de tecnologia e fabricante. Correlação de logs de tecnologias heterôgeneas, conectando atributos comuns e/ou significativos entre as fontes, de modo a transformar os dados em informação útil.
Identificação de comportamentos, incidentes, fraudes, anomalias e quebras de baseline.
Alertas e notificações que podem ser disparadas automaticamente no caso de não conformidade com as políticas de segurança e/ou normas regulatórias, ou ainda, de acordo com as regras de negócio pré-estabelecidas.
Emissão de relatórios sofisticados sobre as condições de segurança do ambiente para equipes de SOC (Security Operations Center), auditoria ou resposta a incidentes.
Retenção e indexação a longo prazo dos dados possibilitando posterior análise forense.
Capacidades:
Agregação de dados: Os dados de registro de gestão de agregados de muitas fontes, incluindo rede, segurança, servidores, bancos de dados, aplicações,
proporcionando a capacidade de consolidar dados monitorados para ajudar a evitar a falta de eventos cruciais.
Correlação: procura por atributos comuns, e vincula eventos juntos em feixes significativas. Esta tecnologia proporciona a capacidade para realizar uma
variedade de técnicas de correlação para integrar diferentes fontes, de modo a transformar dados em informação útil.
Correlação é tipicamente uma função da porção de Gestão de Eventos de Segurança de uma solução completa SIEM.
Alerta: a análise automatizada de eventos correlacionados e produção de alertas, para notificar os destinatários de questões imediatas.
Alertando pode ser a de um painel, ou enviados através de canais de terceiros, tais como e-mail.
Dashboards: Tools pode tomar dados do evento e transformá-lo em gráficos informativos para ajudar a ver padrões, ou identificação de atividade que não está
formando um padrão normal.
Conformidade: Os aplicativos podem ser utilizados para automatizar a coleta de dados de conformidade, produzindo relatórios que se adaptam aos
processos de segurança, governança e auditoria existentes.
Retenção: empregando o armazenamento a longo prazo de dados históricos para facilitar a correlação de dados ao longo do tempo, e para fornecer a
retenção necessária para requisitos de conformidade. Retenção de dados de registo de longo prazo é crítica em investigações forenses, pois é pouco
provável que a descoberta de uma quebra de rede será, no momento da ruptura ocorrem.
Análise forense: A capacidade de pesquisar em logs em diferentes nós e períodos de tempo com base em critérios específicos.
Isso reduz ter que agregar informações de log em sua cabeça ou ter que pesquisar através de milhares e milhares de logs.
Considerações:
SIEM é vendido como software, aparelhos ou serviços de gestão, e também são usados para registrar dados de segurança e gerar relatórios para fins
de conformidade.
Sistemas SIEM normalmente são caros para implantar e complexos para operar e gerenciar.
Enquanto a comformidade com PCI DSS (Payment Card Industry Data Security Standard compliance) tem tradicionalmente impulsionado adoção SIEM
em grandes empresas, as preocupações com as ameaças persistentes avançadas têm levado as organizações menores olhar para os benefícios de um SIEM que
provedores de serviços gerenciados de segurança (MSSP) pode oferecer.
Bem galerinha, é isso.
Espero que tenham gostado do post.
Até a próxima \o.
0 comments:
Postar um comentário