Gerenciamento e Correlação de Eventos de Segurança
As referências deste artigo necessitam de formatação. (Março de 2016) |
Gerenciamento e Correlação de Eventos de Segurança ( em inglês Security Information and Event Management) é uma solução de Software que combina SIM (security information management) e SEM (security event manager) .
Uma solução SIEM permite que os eventos gerados por diversas aplicações de segurança (tais como firewalls, proxies, sistemas de prevenção a intrusão (IPS) e antivírus sejam coletados, normalizados, armazenados e correlacionados; o que possibilita uma rápida identificação e resposta aos incidentes.
Enquanto ferramentas SEM oferecem monitoramento em tempo real dos eventos de segurança, coletando e agregando os dados (com resposta automática em alguns casos); uma ferramenta SIM oferece análise histórica dos eventos de segurança, também coletando e correlacionando os eventos, porém não em tempo real; o que permite consultas mais complexas ao repositório.
As soluções SIEM combinam os recursos oferecidos em ambas as tecnologias (SIM e SEM).
O termo foi cunhado em 2005 por Mark Nicolett e Amrit Williams da Gartner,[1] descrevendo um produto capaz de coletar, analisar e apresentar informações dos dispositivos de segurança de rede; softwares de controle de acesso; gerenciamento de vulnerabilidades; ferramentas de conformidade; logs de sistema operacional, banco de dados e aplicações; e por último, dados de ameaças externas.
Até Outubro de 2013,[2] o site Mosaic Security Research listava 86 soluções SIEM, equanto a Gartner,[1] listava apenas 15 vendors em seu Magic Quadrant.
O Problema[editar | editar código-fonte]
Do ponto de vista do gerenciamento de segurança da informação, observa-se:
- A “Inundação” de logs, eventos e outras informações relativas às atividades monitoradas pelas soluções de segurança e do próprio funcionamento interno das mesmas;
- Existência de ilhas de defesa, onde cada solução específica trabalha de forma isolada;
- Consoles heterogêneas de monitoração, que oferecem visões isoladas sobre o estado de segurança do ambiente e requerem especialistas para sua utilização e interpretação dos dados, além da dificuldade de relacionar os eventos reportados pelas diferentes soluções;
- Alta taxa de falsos positivos, decorrente das análises isoladas pelas soluções, as quais não possuem visão de todo o ambiente;
- Crescente número de regulamentações, padronizações, normas, políticas e processos de auditorias, externas ou internas, obrigam cada vez mais as empresas a reportarem o devido cuidado com relação à segurança da informação e provar conformidade.
A Solução SIEM[editar | editar código-fonte]
Com base nos problemas citados, uma solução SIEM tenta atender com as seguintes características:
- Acesso em tempo real, centralizado e consistente a todos os logs e eventos de segurança, independente do tipo de tecnologia e fabricante;
- Correlação de logs de tecnologias heterôgeneas, conectando atributos comuns e/ou significativos entre as fontes, de modo a transformar os dados em informação útil;
- Identificação de comportamentos, incidentes, fraudes, anomalias e quebras de baseline;
- Alertas e notificações que podem ser disparadas automaticamente no caso de não conformidade com as políticas de segurança e/ou normas regulatórias, ou ainda, de acordo com as regras de negócio pré-estabelecidas;
- Emissão de relatórios sofisticados sobre as condições de segurança do ambiente para equipes de SOC (security operations center) auditoria ou resposta a incidentes;
- Retenção e indexação a longo prazo dos dados possibilitando posterior análise forense;
Que tipo de empresas oferecem soluções SIEM?[editar | editar código-fonte]
As empresas que oferecem esse tipo de solução são dedicadas ao ramo da tecnologia da informação.
Dentre as mais expressivas estão big techs como IBM com Qradar SIEM, Datadog e Miscrosoft
Referências
- ↑ a b The Future of SIEM - The market will begin to diverge
- ↑ «Mosaic Security Research». Consultado em 6 de outubro de 2013. Arquivado do original em 16 de março de 2012