4 Erros na implantação de um SIEM

Erros e acertos

O SIEM é uma ferramenta excelente e ao mesmo tempo “burra”, ao contrário de ferramentas preventivas como antivírus, IPS, WAF… o SIEM é reativo ele irá mostrar o que está acontecendo no ambiente ou já aconteceu “existem automações que podem ser integradas, mas não vem ao caso no momento” com isso o SIEM se torna uma ferramenta que depende muito do profissional ou equipe por trás dele. Vamos ver 4 dos principais erros cometidos na implantação de um SIEM.

Esse tipo de entendimento não é de ciência de todos no momento da aquisição e em muitos casos não fica claro diversos pontos da solução e do projeto e isso causa desgastes futuros com o assunto. No entanto evitando tais erros o projeto será mais chances de sucesso.

Abaixo são 4 erros comuns em um projeto de SIEM:

Expectativa

O que esperar de um SIEM? Como citado anteriormente ele é uma solução reativa e isso pode causar problemas quando os envolvidos esperam que a ferramenta realize bloqueios ou evite incidentes proativamente.

Outra expectativa que acabam colocando no SIEM é que ele irá “ver” todo o ambiente e isso deve ser muito bem alinhado com escopo e estratégia, pois por ser uma ferramenta com altos valores no início são priorizadas frações do ambiente para serem monitorados.

Escopo

A implantação de um SIEM pode ser por causa de um escopo em especifico ou alguns escopos, podendo ser PCI, SOX, FISMA ou qualquer outra normativa, o escopo também pode ser cyber segurança, violação de políticas internas, negócios….

O escopo do SIEM será a base para a estratégia da solução no ambiente e deixará as expectativas alinhadas com o projeto.

Estratégia:

O que monitorar? Esse é um ponto importante, pois é a estratégia que irá definir o que monitorar e porque monitorar, em muitos casos existem ambiente grandes e o SIEM não conseguirá comportar tudo de início e terão que ser priorizados os logs mais importantes.

A estratégia além de definir o que será monitorado deve prover quais os alertas deverão ser priorizados até que seja realizado o tunning na ferramenta.

Pessoas

As pessoas são 80% de um SIEM, a solução terá regras, reports, dashboards e muito mais, tudo pronto para você começar a usar, porém é extremamente necessária uma pessoa que tenha experiência com o SIEM e com o ambiente, pois será necessário realizar customizações em regras, escolher quais reports e dashboards serão úteis, sem um customização do SIEM conforme o ambiente irá existir tanto falso-positivo que seria melhor não haver um SIEM e esse trabalho quem irá fazer são os profissionais responsáveis pelo ferramenta.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.