Correlação de eventos estáticos e dinâmicos

O que é correlação de eventos?

Uma organização de qualquer porte pode ter inúmeras atividades suspeitas na sua rede, e o monitoramento dessas atividades pode ajudar a protegê-la contra ameaças potenciais. Por exemplo, se uma conta de usuário tiver 100 tentativas de login malsucedidas antes de um login bem-sucedido, os administradores de segurança sinalizarão esse fato como uma atividade suspeita.

Às vezes, é difícil definir o limite exato para detectar uma atividade suspeita. No caso acima, se o hacker violar a senha na 90ª tentativa, isso não será detectado caso você configurar uma regra para alertá-lo após 100 logins malsucedidos, seguidos de um login bem-sucedido. Para resolver essa situação, você precisa de uma maneira mais eficiente e confiável de detectar possíveis ameaças.

A correlação de eventos analisa diversos eventos, adiciona contexto de negócios aos eventos analisados ​​e estabelece conexões entre eles de maneira sequencial antes de fornecer soluções lógicas. A correlação compara sequências de atividades com base em um conjunto de regras. Estas regras permitem que a sua solução de gerenciamento de eventos e informações de segurança (SIEM) decida quais atividades suspeitas devem ser tratadas como uma ameaça potencial à segurança.

Por exemplo, você pode definir uma regra de correlação para procurar eventos X e Y que ocorrem em uma ordem específica, onde X é um número de tentativas de login malsucedidas de uma conta de usuário de um endereço IP específico e Y é um login bem-sucedido do mesmo endereço IP para qualquer máquina na rede. Com esta regra em vigor, você receberá alertas sempre que uma sequência desses eventos ocorrer na rede. Os fatores predefinidos nesses eventos o ajudarão a diferenciar ameaças potenciais de ocorrências normais.

Você pode criar regras com base nas necessidades do seu negócio ou usar as regras definidas pela sua solução de SIEM. O elemento fundamental para detectar incidentes com precisão é configurar o mecanismo de correlação da sua solução de segurança com base na natureza do seu negócio.

Protegendo seu passado e seu presente

Há dois tipos de correlação: estática e dinâmica.

Correlação estática

É impossível as empresas sempre dependerem de uma estratégia de segurança preventiva. As violações ocorrem inevitavelmente e, quando surgem, é fundamental analisar o “como” e “porquê” para evitar ocorrências similares no futuro e reduzir seu impacto.

A correlação estática é o processo de investigação de logs históricos para analisar a atividade de violação após um incidente. Por meio da correlação estática, você pode analisar dados de logs e identificar padrões complexos de eventos passados. Isso pode ajudá-lo a descobrir ameaças que possam ter comprometido a segurança da sua rede ou fornecer informações sobre um ataque em andamento.

Correlação dinâmica

A correlação dinâmica detecta incidentes de segurança em tempo real. Com os eventos sujeitos a regras de correlação conforme eles ocorrem, uma solução de SIEM é capaz de analisar dados de logs recebidos e procurar padrões de ataque imediatamente. Por meio da correlação dinâmica, as organizações beneficiam-se de uma taxa de detecção e resposta mais rápida. Isso ajuda sua rede a ficar sempre protegida.

Por meio da correlação estática e dinâmica, você pode garantir que a rede da sua organização tenha uma defesa oportuna contra ataques de segurança.