SIEM é uma solução que tem como
funções core oferecer analise de eventos de segurança em dispositivos de rede e
aplicações em tempo real, correlação de eventos de acordo com as necessidades
de cada ambiente, manter o histórico desses eventos e gerar relatórios que
podem ser utilizados na questão de Compliance do ambiente. Esta solução nasceu
da junção das soluções de SEM (Security Event Management) e SIM (Security
Information Manegement) .
Atualmente as soluções de SIEM
podem ser ofertadas em software, hardware ou como serviço, no caso na
modalidade de serviço, normalmente ela é vendida para gerenciamento por um SOC
(Security Operation Center).
Este tipo de solução é vital para
empresas grandes com ambientes complexos, pois imagine controlar quem acessa o
seu banco de dados com privilégios de administrador, ou quando um funcionário
tenta acessar uma pasta que não deveria, esses exemplos são bem simples e na
verdade não utiliza a inteligência que essas soluções possuem, todos os SIEMs
têm como diferencial o fator de Correlacionamento de Eventos, ou seja, o
usuário João logou no Windows e alterou uma regra no firewall, sem o SIEM esses
logs são dados separados e sem relação, porém com a criação de uma regra de
correlação, você especifica que quando o usuário João logar no Windows e criar
uma regra de Firewall gere um email lhe informando, ou seja, agora você tem 2
dados que viraram uma informação, esse é um exemplo simples, mas em ambientes
controlados existem inúmeras regras.
Segue abaixo algumas das funções
obrigatórias e um SIEM:
Agregação de Dados: é possível
agregar varios eventos similares no intuito de economizar processamento da
aplicação e especificar quais são os logs mais importantes, assim não se perderia
os eventos mais importantes, deixando os eventos com menos importância para
serem processados posteriormente.
Correlação: junção de dois ou
mais eventos separados que geram uma informação útil.
Alerta: é possível configurar
alertas automatizados para informar eventos correlacionados.
Dashboards: com este recurso é
possível visualizar graficamente os eventos em períodos pré-definidos, muito
útil para gerenciamento e tomada de decisões rápidas.
Retenção: como a ferramenta
trabalha com logs, a mesma armazena estes logs para posterior analise e
auditoria se necessário, mas devido ao volume de informações, normalmente se
utiliza um storage ou um módulo de armazenamento exclusivo dependendo da
solução.
Com relação as soluções
existentes no mercado podemos citar algumas: HP ArcSight, RSA Envision,
Trustwave e NetIQ, lembrando que existem algumas soluções Opensource, porém
quando há a necessidade de regras de correlação e armazenamento em grande
escala, estas soluções necessitam ser adquiridas.
Este tipo de solução vem
crescendo muito com a necessidade de alguns ambientes estarem aderentes a
algumas normas, por exemplo: PCI, ISO 27001 e etc.
Segue abaixo um link que consta
todos os SIEMs existentes no mercado atualmente e link para o site de seus
fabricantes:
https://mosaicsecurity.com/categories/85-log-management-security-information-and-event-management
Nenhum comentário:
Postar um comentário