Agregação de Logs – SIEM

O SIEM possui um função de agregação de logs. Ela pode ajudar bastante, abaixo vamos enter um pouco melhor como isso funciona.

Agregação - filtros dentro de filtros

Você já teve alguma vez problema com o excesso de logs no SIEM? Se não teve, é uma pessoa de sorte!

No entanto a grande maioria dos profissionais que trabalham com a ferramenta já tiveram esse problema.

O SIEM possui uma funcionalidade chamada agregação de logs. Esse nome pode variar conforme o fabricante ou até mesmo estar em inglês, mas a função é a mesma. Você consegue direto no coletor criar filtro para que os logs seja agregados.

Exemplo: O SIEM recebe logs de firewall e as vezes você vê o mesmo IP de origem, IP de destino e porta em diversos logs seguidos. A agregação irá entregar para o Processor apenas um log com as informações e irá informar em um campo quantos logs em agregou.

É possível usar a agregação dos logs com qualquer tipo de coleta, os mais comuns são AD e Firewall por causa da alta quantidade de logs gerados. Além de realizar o filtro informando quais os campos deverão ser iguais, deverá ser delimitado um tempo também. Ficaria algo como, Quando o campo A e B forem iguais e estiverem em range de 10 segundos agregue eles em um só evento.

Dependendo da sua rede você poderá ver grandes ganhos ou ganhos não tão expressivos. No entanto ele é sempre bom para diminuir um pouco a quantidade de logs e criar um pequena gordura na licença.

Ponto de atenção: Existem algumas normas de auditoria que não permitem a utilização da agregação, pois ela obriga que o SIEM possua todos os logs como únicos.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.