O que é SIEM

A palavra SIEM vem do agrônomo de Security Information Event Manager ou Gerenciamento de Informações e Eventos de Segurança .

O SIEM é uma abordagem ao gerenciamento de segurança que combina as  funções:

  • SIM (gerenciamento de informações de segurança)
  • SEM (gerenciamento de eventos de segurança) em um sistema de gerenciamento de segurança

Os princípios subjacentes a todo sistema SIEM é agregar dados relevantes de várias fontes, identificar desvios da norma e tomar as medidas apropriadas. Por exemplo, quando um problema em potencial é detectado, um SIEM pode registrar informações adicionais, gerar um alerta e instruir outros controles de segurança para interromper o progresso de uma atividade.

No nível mais básico, um sistema SIEM pode ser baseado em regras ou empregar um mecanismo de correlação entre as fontes de log de eventos . Além disso os SIEMs avançados evoluíram para incluir UEBA (análise de comportamento de usuários e entidades) e orquestração de segurança e resposta automática (SOAR).

Porque usar?

O cumprimento do PCI originalmente levou adoção do SIEM em grandes empresas. No entanto as preocupações sobre as ameaças persistentes avançadas  ( APTs ) têm levado as organizações menores para olhar para os benefícios de uma SIEM gerenciados provedor de serviços de segurança ( MSSP ) pode oferecer. A capacidade de analisar todos os dados relacionados à segurança de um único ponto de vista facilita a organizações de todos os tamanhos identificar padrões fora do comum.

O SIEM tem como objetivo realizar a coleta de eventos de várias fontes relacionados dispositivos de usuário final, servidores, equipamentos de rede, equipamentos de segurança. Como resultado os coletores encaminham eventos para um console de gerenciamento centralizado, onde os analistas de segurança analisam o ruído, conectando os pontos e priorizando incidentes de segurança.

Em alguns sistemas, o pré-processamento pode ocorrer em coletores de borda, com apenas certos eventos sendo transmitidos para um nó de gerenciamento centralizado. Dessa maneira, o volume de informações sendo comunicadas e armazenadas pode ser reduzido. Embora os avanços no aprendizado de máquina estejam ajudando os sistemas a sinalizar anomalias com mais precisão, os analistas ainda precisam fornecer feedback, educando continuamente o sistema sobre o meio ambiente.

Recursos Importantes

Aqui estão alguns dos recursos mais importantes a serem analisados ​​ao avaliar os produtos SIEM:

  • Integração com outros controles – O sistema pode fornecer comandos para outros controles de segurança da empresa para impedir ou interromper ataques em andamento?
  • Inteligência artificial – O sistema pode melhorar sua própria precisão através de aprendizado profundo e por máquina ?
  • Threat Intelligence – O sistema pode oferecer suporte a feeds de inteligência de ameaças da escolha da organização ou é obrigatório usar um feed específico?
  • Relatório de conformidade – O sistema inclui relatórios internos para necessidades comuns de conformidade.
  • Recursos forenses – O sistema pode capturar informações adicionais sobre eventos de segurança gravando os cabeçalhos e o conteúdo dos pacotes de interesse? 

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.