Diferentes tipos de logs no SIEM e seus formatos

Nesta página

  • Tipos de dados de log
  • Diferentes formatos de log
  • Formato de evento comum

Uma solução de gerenciamento de informações e eventos de segurança (SIEM) uma postura de segurança saudável para a rede de uma organização monitorando diferentes tipos de dados da rede. Os dados de log registram todas as atividades que acontecem no dispositivo e nas aplicações na rede. Para avaliar a postura de segurança de uma rede, as soluções SIEM devem coletar e analisar diferentes tipos de dados de log.

Este artigo elabora os diferentes tipos de dados de log que você deve coletar e analisar usando uma solução SIEM para garantir a segurança da rede.

Tipos de dados de log

Existem seis tipos diferentes de logs monitorados por soluções SIEM:

1. Registros de dispositivos de perímetro

Dispositivos de perímetro monitoram e regulam o tráfego de e para a rede. Firewalls, redes privadas virtuais (VPNs), sistemas de detecção de intrusão (IDSs) e sistemas de prevenção de intrusão (IPSs) são alguns dos dispositivos de perímetro. Esses dispositivos geram logs contendo uma grande quantidade de dados, e os logs de dispositivos de perímetro são vitais para entender os eventos de segurança que ocorrem. Dados de log no formato syslog ajudam os administradores de TI a realizar auditorias de segurança, solucionar problemas operacionais e entender melhor o tráfego que passa pela rede corporativa e dela sai.

Por que você precisa monitorar os dados de log de um dispositivo de perímetro?

  • Para detectar tráfego malicioso na sua rede: esses logs contêm detalhes sobre o tráfego de entrada, endereços IP dos sites navegados pelos usuários e tentativas de logon malsucedidas, o que ajuda a rastrear comportamento de tráfego anômalo.
  • Para detectar erros de configuração de segurança: eles são a causa mais importante para violações de firewall. Algumas mudanças nas configurações de firewall podem abrir as portas para tráfego de rede malicioso. Monitorar logs de firewall ajuda a detectar mudanças não autorizadas na configuração de segurança.
  • Para detectar ataques: Analisar logs de firewall ajuda a detectar padrões na atividade de rede. Por exemplo, quando o servidor recebe, em um curto espaço de tempo, um grande número de pacotes SYN para conectar o cliente a um servidor, isso pode indicar um ataque de negação de serviço distribuído (DDoS).

Dissecando dados de log de um dispositivo de perímetro típico (firewall)

2015-07-06 11:35:26 ALLOW TCP 10.40.4.182 10.40.1.11 63064 135 0 - 0 0 0 - - - SEND

A entrada de log acima especifica o carimbo de data/hora do evento, seguido pela ação. Neste caso, ele indica o dia e a hora em que o firewall permitiu o tráfego. Ele também contém informações sobre o protocolo usado, bem como os endereços IP e números de porta da origem e do destino. A partir de dados de log como esses, você pode detectar tentativas de conexão a portas que você não usa, indicando que o tráfego é malicioso.

2. Logs de eventos do Windows

Os logs de eventos do Windows são um registro de tudo o que acontece em um sistema Windows. Esses dados de log são classificados ainda em:

  • Logs de aplicações do Windows: Esses são eventos registrados pelas aplicações no sistema operacional Windows. Por exemplo, um erro forçando a aplicação a fechar é registrado neste log.
  • Logs de segurança: são quaisquer eventos que podem afetar a segurança do sistema. Inclui tentativas de login com falha e instâncias de exclusão de arquivo.
  • Logs do sistema: contém eventos que são registrados pelo sistema operacional. Os logs indicam se os processos e drivers foram carregados com sucesso.
  • Logs do serviço de diretório: contém eventos registrados pelo serviço do Active Directory (AD). Ele registra operações do AD, como autenticação e modificação de privilégios. Esses logs estão disponíveis apenas para controladores de domínio.
  • Logs do servidor DNS: são logs de servidores de sistema de nomes de domínio (DNS) com informações como endereços IP do cliente, o domínio consultado e o registro solicitado. Está disponível apenas para servidores DNS.
  • Logs de serviço de replicação de arquivo: Contém eventos de replicação de controlador de domínio. Está disponível somente para controladores de domínio.

Por que você precisa monitorar os logs de eventos do Windows?

  • Para garantir a segurança do servidor: A maioria dos servidores críticos, como servidores de arquivo e controladores de domínio do AD, são executados na plataforma Windows. É essencial monitorar esses dados de log para entender o que está acontecendo com seus recursos críticos.
  • Segurança de estação de trabalho do Windows: Os logs de eventos fornecem insights valiosos sobre o funcionamento de uma estação de trabalho. Ao monitorar os logs de eventos do Windows gerados a partir de um dispositivo, as atividades do usuário podem ser monitoradas para comportamento anômalo, o que pode ajudar a detectar ataques nos estágios iniciais. Em caso de ataque, os logs podem ajudar a reconstruir as atividades do usuário para fins forenses.
  • Para monitorar componentes de hardware: uma análise dos logs de eventos do Windows ajuda a diagnosticar problemas com componentes de hardware com defeito de uma estação de trabalho, indicando a causa do mau funcionamento.

Dissecando um log de eventos típico do Windows

Warning 4/28/2020 12:32:47 PM WLAN-AutoConfig 4003 None

O Windows classifica cada evento com base em sua gravidade como Aviso, Informação, Crítico e Erro. O nível de segurança neste caso é Aviso. A entrada de log acima é do serviço WLAN AutoConfig, que é um utilitário de gerenciamento de conexão que permite que os usuários se conectem a uma rede local sem fio (WLAN) dinamicamente. O próximo segmento indica a data e a hora em que o evento ocorreu. O log especifica que o WLAN AutoConfig detectou conectividade de rede limitada e está tentando recuperação automática. Usando esse log, uma solução SIEM pode verificar logs semelhantes em outros dispositivos no registro de data e hora referenciado neste log, para resolver o problema de conectividade de rede.

3. Logs de endpoints

Endpoints são dispositivos que são conectados pela rede e se comunicam com outros dispositivos pelos servidores. Alguns exemplos incluem desktops, laptops, smartphones e impressoras. Com as organizações adotando cada vez mais o trabalho remoto, os endpoints criam pontos de entrada na rede que podem ser explorados por agentes maliciosos.

Por que você precisa monitorar logs de endpoint?

  • Para monitorar atividades em unidades de disco removíveis: Unidades de disco removíveis são frequentemente vulneráveis a instalações de malware e tentativas de exfiltração de dados. Ao monitorar logs de endpoint, essas tentativas podem ser detectadas.
  • Para monitorar a atividade do usuário Os usuários são obrigados a obedecer às políticas regulatórias internas e externas de sua organização relacionadas à instalação e ao uso de software em suas estações de trabalho. Os logs de endpoint podem ser usados para monitorar essas políticas e fornecer notificações se ocorrerem violações.

Dissecando um log de dispositivo de endpoint típico

Error 6/20/2019 5:00:45 PM Terminal Services- Printers 1111 None

O log acima especifica que ocorreu um erro com o driver Terminal Services Easy Print. Isso é indicado pela fonte do erro e pelo ID do evento (1111). Se um usuário enfrentar problemas ao imprimir um arquivo, os logs podem ser verificados para entender a causa exata do problema e resolvê-lo.

4. Logs de aplicações

As empresas operam em várias aplicações, como bancos de dados, aplicações de servidor web e outras internas para executar funções específicas. Elas geralmente são vitais para o funcionamento eficaz do negócio. Todas elas geram dados de log que fornecem insights sobre o que está acontecendo dentro de si.

Por que você precisa monitorar logs de aplicações?

  • Para solucionar problemas: esses logs ajudam a identificar e corrigir problemas relacionados ao desempenho e à segurança das aplicações.
  • Para monitorar atividades: Logs gerados de um banco de dados indicam solicitações e consultas de usuários. Isso pode ser usado para detectar acesso não autorizado a arquivos ou tentativas de manipulação de dados por usuários. Os logs também são úteis para solucionar problemas no banco de dados.

Dissecando um log de aplicacação típico

02-AUG-2013 17:38:48 * (CONNECT_DATA=(SERVICE_NAME=dev12c)
(CID=(PROGRAM=sqlplus)(HOST=oralinux1)(USER=oracle))) *
(ADDRESS=(PROTOCOL=tcp)(HOST=192.168.2.121)(PORT=21165))
* establish * dev12c * 0

A entrada de log acima é de um sistema de banco de dados Oracle. O log é para uma tentativa de conexão de um computador host. Ele faz referência à hora e data em que a solicitação foi recebida pelo servidor. Ele também indica o usuário e o computador host de onde a solicitação se originou, juntamente com seu endereço IP e o número da porta.

5. Logs de proxy

Os servidores proxy desempenham um papel importante na rede de uma organização, fornecendo privacidade, regulando o acesso e economizando largura de banda. Como todas as solicitações e respostas da web passam pelo servidor proxy, os logs de proxy podem revelar informações valiosas sobre estatísticas de uso e o comportamento de navegação dos usuários de endpoint.

Por que você precisa monitorar logs de proxy?

  • Para basear o comportamento do usuário: Analisar as atividades de navegação dos usuários a partir dos logs de proxy coletados pode ajudar a formar uma base de seu comportamento. Qualquer desvio pode revelar uma violação de dados e indicar que uma inspeção mais aprofundada é necessária.
  • Para monitorar o comprimento dos pacotes: Os logs de proxy podem ajudar a monitorar o comprimento dos pacotes trocados pelo servidor. Por exemplo, um usuário enviando ou recebendo repetidamente pacotes do mesmo comprimento dentro de um determinado intervalo de tempo pode indicar uma atualização de software ou descobrir malware trocando sinais com servidores de controle.

Dissecando um log de proxy típico

4/8/2020 2:20:55 PM User-001 192.168.10.10 GET https://wikipedia.com/

O log acima especifica que o Usuário-001 solicitou páginas do Wikipedia.com na data e hora indicadas no log. Analisar as solicitações, URLs e carimbos de tempo nos logs ajuda a detectar padrões e auxilia na recuperação de evidências em caso de um evento.

6. Logs de IoT

A Internet das Coisas (IoT) refere-se a uma rede de dispositivos físicos que trocam dados com outros dispositivos na internet. Eles são incorporados com sensores, processadores e software para permitir a coleta, o processamento e a transmissão de dados. Como endpoints, os dispositivos que compõem um sistema IoT geram logs. Os dados de log de dispositivos IoT fornecem insights sobre o funcionamento de componentes de hardware, como microcontroladores, os requisitos de atualização de firmware do dispositivo e o fluxo de dados de entrada e saída do dispositivo. Uma parte crucial do registro de dados de sistemas IoT é o local de armazenamento dos dados de log. Eles s não possuem memória suficiente para armazenar os logs, portanto, os logs devem ser encaminhados para uma solução centralizada de gerenciamento, onde podem ser armazenados por longos períodos de tempo. A solução SIEM analisa os logs para solucionar erros e detectar ameaças à segurança .

Os logs de todas as fontes acima são geralmente encaminhados para a solução de log centralizada que correlaciona e analisa os dados para fornecer uma visão geral da segurança da sua rede. Os logs são armazenados e transmitidos em diferentes formatos, como CSV, JSON, Key Value Pair e Common Event Format.

Diferentes formatos de log

CSV

CSV é um formato de arquivo que armazena valores em um formato separado por vírgulas. É um formato de arquivo de texto simples, que permite que arquivos CSV sejam facilmente importados para um banco de dados de armazenamento, independentemente do software usado. Como os arquivos CSV não são hierárquicos ou orientados a objetos, eles também são mais fáceis de converter para outros tipos de arquivo.

JSON

JavaScript Object Notation (JSON) é um formato baseado em texto para armazenar dados. É um formato estruturado, o que facilita a análise dos logs armazenados. Ele também pode ser consultado para campos específicos. Esses recursos adicionais tornam o JSON um formato muito confiável para gerenciamento de logs.

Key Value Pair (KVP)

Consiste em dois elementos: uma chave e um valor mapeado para ela. A chave é uma constante, e o valor é variável em diferentes entradas. A formatação envolve agrupar conjuntos semelhantes de dados sob uma chave comum. Ao executar a consulta para uma chave específica, todos os dados sob ela podem ser extraídos.

Formato de log comum

Common Event Format, comumente referenciado como CEF, é um formato de gerenciamento de log que promove a interoperabilidade ao facilitar a coleta e o armazenamento de dados de log de diferentes dispositivos e aplicações. Ele usa o formato de mensagem syslog. O formato de log mais amplamente usado, é suportado por uma variedade de fornecedores e plataformas de software, e consiste em um cabeçalho e uma extensão CEF que contém dados de log em Key Value Pair (KVP)

Esses são os diferentes tipos de dados de log e seus formatos. Coletar manualmente esses logs de todas as diferentes fontes em uma rede e correlacioná-los é um processo tedioso e demorado. Uma solução SIEM pode ajudar você com isso. Ela analisa os logs coletados de diferentes fontes, correlaciona os dados de log, e fornece insights para ajudar as organizações a detectar e se recuperar de ataques cibernéticos.

Additional resource

Páginas de solução

Ferramentas de gerenciamento de logsGerenciamento de log e dadosGerenciamento de log centralizadoGerenciamento de log de aplicações Gerenciamento de Syslog Caça à ameaça Inteligência de ameaçasDetecção de ameaças