SIEM – Tipos de regras

O SIEM é composto por regras. Existe alguns tipos de regras, abaixo iremos descrever cada tipo junto com o melhor método de usar cada uma.

SIEM regras

Condicional

Esse tipo de regra é a mais utilizada em um SIEM, ela nada mais é do que uma condição simples do tipo, se esse log aparecer gere alerta.

Muitos possuem um SIEM e só se baseiam em regras do tipo, mas para esse tipo de alerta não há necessidade de haver um SIEM. Existem ferramentas muito mais barata que geram esse tipo de alerta simples. Entendemos que alguns casos são necessárias regras tipo e para esses casos existem algumas opções.

Criar reports, filtros ou dashboards para mostrar tal evento. Eventualmente será necessário através de uma regra, que seja feito, mas que não vire “lei”.

Correlação

Regras desse tipo possuem mais de duas condições em sua estrutura e na maioria das vezes envolve mais de um device ou fonte de log.

Regras de correlação podem usufruir também de uma lista, como por exemplo lista de usuários, de IPs maliciosos, assets confiáveis… Também pode conter uma base de vulnerabilidade para servir de base em um alerta. Filtros pré definidos como por exemplo “comportamento suspeito”, podem ser usados em correlações com criticidade do ambiente no qual o asset se encontra.

Todos esses exemplos citados podem e devem fazer parte de uma regra de correlação. Visto são recursos que o SIEM fornece e devem ser usufruídos ao máximo.

Comportamental

Essas regras são as mais “delicadas” pois envolvem um estudo do ambiente e em muitos casos particularidades específicas do negócio.

Um exemplo de uso bastante pedido é o de DDoS. Com base no comportamento do firewall de borda conseguimos que seja gerado um alerta quando o mesmo mostrar um aumento de X% em requisições, esse tipo de comportamento deve ser estudado muito bem, pois pode ser que hoje o firewall possua um comportamento, mas durante a semana, mês ou ano demonstre picos e quedas mapeadas pelo negócio, como dia das mães, Natal, reveillon…

Esse tipo de “anomalia” varia conforme o negócio, se não for bem estudada irá gerar um número enorme de falso-positivo.

Acima podemos ter uma breve descrição dos tipos de regras de um SIEM e suas funcionalidades. Lembrando que não existe certo ou errado, o SIEM é algo muito flexível e deve acima de tudo atender ao negócio.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.