- Home
- Componentes da arquitetura SIEM
Componentes da arquitetura SIEM
- Os 9 componentes de uma arquitetura SIEM
As empresas precisam se defender constantemente do número cada vez maior de ataques cibernéticos que enfrentam todos os dias. O gerenciamento de informações e eventos de segurança (SIEM) é um sistema de segurança amplamente adotado por várias empresas para proteger suas redes desses ataques cibernéticos.
Uma solução SIEM consiste em vários componentes que auxiliam as equipes de segurança a detectar violações de dados e atividades maliciosas monitorando e analisando constantemente dispositivos e eventos de rede. Este artigo elabora os diferentes componentes em uma arquitetura SIEM.
Os 9 componentes de uma arquitetura SIEM
1. Agregação de dados
Este componente de uma solução SIEM é responsável por coletar dados de log gerados por várias fontes dentro de uma rede corporativa, como servidores, bancos de dados, aplicativos, firewalls, roteadores, sistemas de nuvem e muito mais. Esses logs, que compreendem um registro de todos os eventos que ocorreram em um dispositivo ou aplicativo específico, são coletados e armazenados em um local centralizado ou armazenamento de dados.
As várias técnicas de coleta de log SIEM incluem:
Coleta de log baseada em agente:
Nesta técnica, um agente é instalado em cada dispositivo de rede que gera logs. Esses agentes são responsáveis por coletar os logs dos dispositivos e encaminhá-los para o servidor SIEM central. Além dessas responsabilidades, eles também podem filtrar os dados de log no nível do dispositivo com base em parâmetros predefinidos, analisá-los e convertê-los em um formato adequado antes do encaminhamento. Essa técnica personalizada de coleta e encaminhamento de log ajuda no uso ideal da largura de banda.
O método de coleta de log baseado em agente é usado predominantemente em zonas fechadas e seguras onde a comunicação é restrita.
Coleta de log sem agente:
Esta técnica não envolve a implantação de agentes em nenhum dispositivo de rede. Em vez disso, as alterações de configuração precisam ser feitas no dispositivo para que eles possam enviar quaisquer logs gerados para o servidor SIEM central de forma segura. Em dispositivos como switches, roteadores, firewalls, etc., a instalação de ferramentas de terceiros para coleta de log geralmente não é suportada, então coletar dados de log por meio de um agente se torna difícil. Nesses casos, uma técnica de coleta de log sem agente pode ser usada. Ela também reduz a carga no dispositivo de rede, pois a implantação de um agente adicional não é necessária.
Coleta de log baseada em API:
Nesta técnica, os logs podem ser coletados diretamente dos dispositivos de rede com a ajuda de interfaces de programação de aplicativos (APIs). O software de virtualização fornece APIs, que permitem que a solução SIEM colete logs de máquinas virtuais remotamente. Além disso, quando as empresas mudam de software local para soluções baseadas em nuvem, torna-se difícil enviar os logs para o SIEM diretamente, pois os serviços não estão conectados a nenhuma infraestrutura física. Quando isso acontece, as soluções SIEM baseadas em nuvem utilizam APIs como intermediárias para coletar e consultar os logs de rede.
2. Análise de dados de segurança (relatórios e painéis)
As soluções SIEM vêm com um componente de análise de segurança, que inclui predominantemente painéis ao vivo que apresentam intuitivamente dados de segurança na forma de gráficos e tabelas. Esses painéis são atualizados automaticamente, ajudando a equipe de segurança a identificar atividades maliciosas rapidamente e resolver problemas de segurança. Com a ajuda desses painéis, os analistas de segurança podem detectar anomalias, correlações, padrões e tendências que podem estar presentes nos dados e obter vários insights sobre eventos que ocorrem em tempo real. As soluções SIEM também fornecem aos usuários uma opção para criar e personalizar seus próprios painéis.
Outra faceta desse componente de análise de segurança são os relatórios predefinidos. Frequentemente, as soluções SIEM são agrupadas com centenas de relatórios predefinidos que ajudam a fornecer visibilidade em eventos de segurança, detectar ameaças e facilitar auditorias de segurança e conformidade. Esses relatórios, que são principalmente construídos com base em indicadores conhecidos de comprometimento (IoCs), também podem ser personalizados para atender às necessidades de segurança interna.
A maioria das soluções SIEM também fornece aos usuários opções para filtrar, pesquisar e detalhar esses relatórios, definir cronogramas para geração de relatórios de acordo com as necessidades do usuário, visualizar dados na forma de tabelas e gráficos e exportar os relatórios em diferentes formatos.
3. Monitoramento de eventos de correlação e segurança
Um mecanismo de correlação é um dos componentes mais vitais de uma solução SIEM. Usando regras de correlação predefinidas ou definidas pelo usuário, os dados de log coletados são analisados para quaisquer relacionamentos existentes entre diferentes atividades de rede, atributos comuns ou padrões que possam estar presentes. Os mecanismos de correlação têm a capacidade de reunir diferentes incidentes de segurança para dar uma visão holística dos ataques de segurança. Eles são capazes de detectar sinais de atividade suspeita, comprometimento ou violação potencial no início da rede, e o sistema SIEM também gerará alertas para essas atividades.
Um exemplo de regra de correlação:
"Se um usuário tiver uma tentativa de login bem-sucedida após várias tentativas de login malsucedidas em um curto período de tempo, acione um alerta."
A maioria das soluções SIEM vem com regras de correlação predefinidas construídas com base nos IoCs. No entanto, como os invasores estão continuamente usando técnicas mais avançadas para invadir um sistema, as regras precisam ser modificadas e aprimoradas regularmente, ou se tornarão obsoletas. A construção de regras de correlação requer uma compreensão profunda do comportamento e das táticas de um invasor.
4. Análise forense
Este componente de uma solução SIEM é usado para executar uma análise de causa raiz e gerar um relatório de incidente que fornece uma análise detalhada de uma tentativa de ataque ou um ataque em andamento que ajuda as empresas a tomarem as medidas corretivas adequadas imediatamente.
Apesar de ter os melhores mecanismos de defesa em vigor, nem sempre é possível para uma empresa frustrar todos os ataques cibernéticos. No entanto, uma empresa pode executar análises forenses para reconstruir as cenas do crime e determinar a causa raiz da violação. Como os dados de log compreendem um registro de todos os eventos que ocorreram em um dispositivo ou aplicativo específico, eles podem ser analisados em busca de rastros deixados por invasores mal-intencionados.
Os sistemas SIEM ajudam a equipe de segurança a navegar pelos logs, gerar relatórios forenses e descobrir o momento em que uma violação de segurança específica ocorreu, sistemas e dados que foram comprometidos, hackers por trás da atividade maliciosa, bem como o ponto de entrada.
Este componente também ajuda as empresas a cumprir determinados mandatos de conformidade, como o armazenamento e arquivamento de dados de log por longos períodos de tempo e a capacidade de realizar investigações forenses sobre eles.
5. Detecção e resposta a incidentes
Detecção de incidentes
Este módulo de uma solução SIEM está envolvido na detecção de incidentes de segurança. Um incidente de segurança se refere a uma tentativa ou violação bem-sucedida de dados na rede por uma parte não autorizada ou violação das políticas de segurança de uma organização. Ataques de negação de serviço, uso indevido de dados e recursos, escalonamento não autorizado de privilégios e ataques de phishing são alguns exemplos comuns de incidentes de segurança. Esses incidentes precisam ser detectados e analisados, e as ações apropriadas precisam ser tomadas para resolver o problema de segurança, garantindo a continuidade das operações comerciais. Durante a detecção de incidentes, as organizações se esforçam para manter o tempo médio de detecção (MTTD) o mais baixo possível para reduzir os danos causados pelos invasores.
A detecção de incidentes pode ser realizada usando as seguintes técnicas:
- Correlação de eventos
- Inteligência de ameaças
- Análise de comportamento de usuário e entidade (UEBA)
Resposta a incidentes
Este módulo de uma solução SIEM é responsável pelas ações corretivas que são realizadas para resolver incidentes de segurança após a detecção. Com as empresas enfrentando toneladas de problemas de segurança diariamente e com os invasores empregando técnicas mais sofisticadas, a resposta a incidentes se tornou um empreendimento desafiador. Reduzir o tempo médio de resolução (MTTR) é uma grande prioridade para todas as empresas.
Algumas técnicas de resposta a incidentes incluem:
- Automatizar a resposta a incidentes com fluxos de trabalho
- Conduzir investigação forense
6. Console de alerta ou resposta a eventos em tempo real
As soluções SIEM realizam atividades de coleta e correlação de logs em tempo real; se qualquer atividade suspeita for detectada, um alerta é gerado instantaneamente, e a equipe de resposta a incidentes agirá imediatamente para mitigar o ataque ou impedir que ele aconteça.
As notificações de alerta também podem ser enviadas por e-mail ou SMS em tempo real e podem ser categorizadas com base nas prioridades atribuídas a elas: alta, média ou baixa. Os fluxos de trabalho podem ser atribuídos a incidentes de segurança para que, quando um alerta for gerado, o fluxo de trabalho correspondente seja executado automaticamente.
7. Inteligência de ameaças
A inteligência de ameaças fornece informações contextuais necessárias para identificar diferentes tipos de ameaças à segurança cibernética e tomar as medidas adequadas para preveni-las, resolvê-las ou mitigá-las. Ao entender a origem do ataque, o motivo por trás dele, as estratégias e métodos usados para realizá-lo, bem como os sinais de comprometimento, as organizações podem entender melhor a ameaça, avaliar os riscos e tomar decisões bem informadas.
Para adicionar informações contextuais, as empresas podem obter feeds de ameaças de fornecedores terceirizados ou compilar e usar feeds de ameaças de código aberto disponíveis no formato STIX/TAXII. O tipo de ameaça pode ser identificado imediatamente e a correção pode ser iniciada, reduzindo o MTTR.
Este componente também ajuda os administradores de segurança a realizar a caça às ameaças, um processo de busca ativa em toda a rede por quaisquer ameaças ou IOCs que possam estar escapando do sistema de segurança.
8. Análise de comportamento de usuário e entidade (UEBA)
Este componente ajuda a detectar incidentes de segurança. Com os invasores constantemente desenvolvendo novas técnicas para invadir redes, os sistemas de segurança convencionais estão rapidamente se tornando obsoletos. No entanto, as organizações podem se defender de qualquer tipo de ameaça cibernética com a ajuda de técnicas de aprendizado de máquina.
Os componentes UEBA empregam técnicas de aprendizado de máquina para desenvolver um modelo de comportamento com base no comportamento normal de usuários e máquinas em uma empresa. Este modelo de comportamento é desenvolvido para cada usuário e entidade processando grandes quantidades de dados obtidos de vários dispositivos de rede. Qualquer evento que se desvie deste modelo de comportamento será considerado uma anomalia e será avaliado posteriormente para possíveis ameaças. Uma pontuação de risco será atribuída ao usuário ou entidade; quanto maior a pontuação de risco, maior a suspeita. Com base na pontuação de risco, a avaliação de risco é realizada e atividades corretivas são realizadas.
Alguns podem perguntar qual é a diferença entre um mecanismo de correlação e UEBA. Enquanto o primeiro é um sistema baseado em regras usado para detectar incidentes e ameaças, o último, como o nome indica, identifica eventos suspeitos com base em análises comportamentais. Para que uma empresa frustre ataques de forma eficaz, ela deve contar tanto com o mecanismo convencional baseado em regras quanto com a análise comportamental moderna.
9. Gerenciamento de conformidade de TI
Quando se trata de proteção e segurança de dados, geralmente espera-se que uma empresa atenda aos padrões, regulamentações e diretrizes exigidos por vários órgãos reguladores. Esses mandatos regulatórios variam para diferentes empresas, dependendo do tipo de indústria e da região onde operam. Se a empresa não cumprir, será penalizada.
Para garantir que uma organização atenda a todos os requisitos de conformidade definidos pelo governo para proteger dados confidenciais, as soluções SIEM incluem um componente de gerenciamento de conformidade. Medidas proativas, como empregar várias técnicas para identificar anomalias, padrões e ameaças cibernéticas, também devem ser tomadas para proteger dados confidenciais de serem comprometidos.
As soluções SIEM têm a capacidade de armazenar e arquivar dados de log por um longo período de tempo para que os auditores possam verificar as trilhas de auditoria. Eles também podem gerar relatórios de conformidade como HIPAA, SOX, PCI DSS, GDPR, ISO 27001 por meio de coleta e análise de logs, bem como relatórios prontos para uso conforme os requisitos específicos declarados pelo mandato.
Todos esses componentes SIEM trabalham coletivamente juntos para ajudar a equipe de segurança, fornecendo insights sobre diferentes tipos de ameaças, seus padrões de ataque e atividades maliciosas que podem estar ocorrendo na rede, bem como o curso de ação necessário que deve ser tomado para resolver quaisquer problemas de segurança.
Então, o que vem depois?
Simplifique a segurança com a solução SIEM da ManageEngine, Log360.
O Log360 reúne gerenciamento de log, monitoramento de segurança e detecção de ameaças em uma plataforma. Saiba como ele pode simplificar seus processos de segurança e aumentar suas capacidades de defesa.