O que é um SIEM
As ferramentas SIEM são uma parte importante do ecossistema de segurança de dados: coletam dados de vários sistemas, normalizam, agregam e então analisam esses dados para detectar comportamentos anormais ou possíveis ataques cibernéticos. Fornecem um local central para, principalmente, coletar eventos e alertas e podem indicar brechas de segurança assim como outras atividades complementares.
O SIEM (Gerenciamento de informações e eventos de segurança) é uma solução de software que de fato agrega e analisa as atividades de muitos recursos diferentes em toda a sua infraestrutura de TI. São indicadas principalmente para grandes empresas e órgãos governamentais, porém podem ser utilizadas também por empresas menores que são tipicamente alvo de Hackers.
O SIEM coleta dados de segurança de elementos da infraestrutura de TI, principalmente servidores, controladores de domínio, switches, roteadores, firewalls, web filter e outros. O SIEM armazena, normaliza, agrega e aplica análises a esses dados com o propósito de descobrir tendências, detectar ameaças e permitir que as organizações investiguem qualquer alerta.
Como o SIEM funciona?
Em resumo, o SIEM fornece dois recursos principais para uma equipe de resposta a incidentes:
- Relatórios e análises forenses sobre incidentes de segurança
- Alertas baseados em análises que correspondem a um determinado conjunto de regras, indicando um problema de segurança
Em outras palavras, o SIEM é um agregador de dados, pesquisa e sistema de relatórios. Reúne imensas quantidades de dados de todo o seu ambiente de rede, consolida e torna esses dados humanos acessíveis. Com os dados categorizados e dispostos na ponta dos dedos, você pode pesquisar violações de segurança de dados com os detalhes necessários.
Recursos de informações de segurança e gerenciamento de eventos
O Gartner identifica três recursos críticos para o SIEM (detecção de ameaças, investigação e tempo de resposta) – há outros recursos e funcionalidades que você geralmente vê no mercado, incluindo:
- Monitoramento básico de segurança
- Detecção avançada de ameaças
- Forense e resposta a incidentes
- Coleção de logs
- Normalização
- Notificações e alertas
- Detecção de incidentes de segurança
- Fluxo de trabalho de resposta a ameaças
SIEM na sua empresa
Muitas empresas têm a política de manter duas soluções separadas para obter o máximo valor para cada finalidade. Uma vez que o SIEM pode gerar excesso de informação e apresenta recursos em demasia, é comum haver um com foco em segurança de dados e outro direcionado para conformidade atendendo a regulamentos como HIPAA , PCI , SOX e GDPR .
Outra finalidade mais específica inclui agregar dados que podem ser usados para projetos de gerenciamento de capacidade. Nestes termos, é possível acompanhar o crescimento da largura de banda e dos dados ao longo do tempo para planejar objetivos de crescimento e orçamento. No mundo do planejamento de capacidade, os dados são essenciais e a compreensão do uso e das tendências atuais ao longo do tempo permite gerenciar o crescimento e evitar grandes gastos de capital como uma medida reacionária contra a prevenção.
Conclusão
Em síntese, as ferramentas SIEM coletam dados de vários sistemas, normalizam, agregam e então analisam esses dados para detectar comportamentos anormais ou possíveis ataques cibernéticos. Podem indicar brechas de segurança, apoiam a conformidade e podem ser úteis para o Capacity Planning.
Mais informações
Solução QRadar SIEM da IBM: https://www.youtube.com
Soluções de SIEM da Bravo Tecnologia: https://bravotecnologia.com.br