Coleta e processamento de logs e o NetFlow.

Os dados de logs gerados por todos os dispositivos e aplicações da rede, juntamente com os dados do NetFlow, que monitoram o tráfego de rede, fornecem insights sobre as atividades da rede, tornando-os as principais fontes de entrada para soluções de gerenciamento de informações e eventos de segurança (SIEM).

Uma solução de SIEM coleta, armazena e analisa essas informações para obter insights mais profundos sobre o comportamento da rede, detectar ameaças e mitigar ataques proativamente. Este artigo discutirá algumas técnicas utilizadas para coletar e processar essas informações.

Como os logs são coletados?

Os logs são coletados de todos os dispositivos, como bancos de dados, roteadores, firewalls, servidores, dispositivos de IDS/IPS, controladores de domínio, estações de trabalho e aplicações.

A coleta de logs pode ser realizada de duas maneiras:

• Coleta de logs sem agente

  A coleta de logs sem agente é o método predominante que as soluções de SIEM utilizam para coletá-los. Neste método, os dados de logs gerados pelos dispositivos são enviados para um servidor de SIEM de maneira segura automaticamente. Não há necessidade de um agente adicional para coletar logs, reduzindo a carga nos dispositivos.

• Coleta de logs baseada no agente

  A coleta de logs baseada no agente exige que um agente seja implantado em cada dispositivo que possa gerar logs. Este método pode ajudar a filtrar logs durante a coleta, com base em parâmetros definidos. Os agentes também ocupam menos largura de banda e recursos e ajudam a fornecer dados de logs filtrados e estruturados. Este método é utilizado quando os dispositivos estão em uma zona segura na qual a comunicação é restrita e é difícil enviar logs para um servidor de SIEM.

Como os dados do NetFlow são coletados?

A coleta no NetFlow corresponde a informações sobre tráfego IP, principalmente:

• Endereço IP de origem
• Endereço IP de destino
• Portas acessadas
• Serviços realizados e muito mais.

A coleta de dados do NetFlow é realizada com um coletor NetFlow, que também registra carimbos de data e hora (timestamps), pacotes solicitados, interfaces de entrada e saída de tráfego IP, e muito mais. O processo de coleta do NetFlow inclui a sua coleta de dados e análise das informações quanto à velocidade da largura de banda, utilização de recursos, transmissão e recepção em uma rede por coletores NetFlow. As principais funções dos coletores NetFlow incluem a coleta de dados de fluxo transmitidos usando o User Datagram Protocol (UDP) de dispositivos habilitados para NetFlow e filtragem dos dados coletados para reduzir seu volume. O Simple Network Management Protocol (SNMP) coleta informações sobre o tráfego em cada ponto de observação de uma rede. Este método de coleta de dados está habilitado em todos os dispositivos que têm uma porta Ethernet. Além disso, os dados são monitorados e analisados para detectar anomalias e prevenir ameaças.

Processamento de logs

As diferentes técnicas utilizadas para o processamento de log são listadas abaixo.

Análise de logs

Um analisador (parser) pode pegar dados de logs brutos não estruturados e formatá-los agrupando informações similares em atributos relevantes. A análise facilita a recuperação e pesquisa de logs. Cada solução de SIEM inclui vários analisadores para processar os dados de logs coletados.

Normalização de logs

A normalização é o processo de mapear apenas os dados de logs necessários em atributos relevantes, que podem ser configurados pelo administrador de segurança de TI. Para monitorar as atividades importantes em uma rede, os logs devem ser normalizados. A normalização de logs pode ajudar a diferenciar atividades regulares e irregulares em uma rede.

Indexação de logs

Os dados de logs normalizados são separados e armazenados em arquivos contendo informações de logs indexadas. Os administradores podem aplicar consultas aos dados indexados para acelerar o processo de pesquisa. As soluções de SIEM podem ser configuradas pelo administrador da rede para registrar os dados em um índice específico visando facilitar a recuperação e interpretação.

Análise de logs

A correlação de dados de logs ajuda a identificar se as diferentes fontes de logs correspondem a um evento específico que ameaça a segurança da rede. Os relatórios forenses ajudam a verificar onde a rede foi comprometida e como o ataque foi realizado. A análise de logs desempenha um papel fundamental no entendimento do comportamento do usuário e detecção de ameaças, além de ajudar na prevenção de um ataque antes que ele ocorra.