Gerenciamento de Logs e Fundamentos do SIEM: Coleção e Auditoria Abrangentes de Logs

O primeiro passo no SIEM é a coleta de  dados de logs . Dados de logs, como vimos no primeiro post é o que impulsiona uma solução SIEMUma solução SIEM deve ser capaz de processar, em tempo real, grandes quantidades de dados de logs recebidos de servidores, soluções de segurança e aplicações em sua rede.

Mas você tem diferentes sistemas e ambientes, e análise de logs pode ficar complicado quando você possui diferentes formatos e padrões de log, como log de eventos, syslogs e outros logs de aplicações. Por exemplo, as informações obtidas de um log de firewall serão diferentes das informações obtidas de um registro de roteador . No entanto, ambos os tipos de logs são importantes para a segurança da rede, especialmente quando reunidos em uma solução SIEM, que lhes dão mais contexto.

 Você precisa que sua solução SIEM atue como uma solução mestre e controle todos os aspectos de segurança da sua rede. Ter essa solução mestre especial, além de várias outras soluções preventivas de segurança, é crucial em qualquer centro de operações de segurança.

Coleta de Log Abrangente

Uma das coisas mais importantes a fazer antes de implantar uma solução SIEM é obter uma compreensão clara de seus requisitos e orçamento. Dependendo da estrutura de preços e licenciamento, você poderia ser cobrado para o volume de dados de logs processados , ou com base no número de fontes de log (como fazemos em Log360 ).

Para simplificar, você precisa de logs de qualquer fonte que o preocupe. Que incluem :

  • Estações de trabalho.
  • Servidores.
  • Controladores de domínio.
  • Dispositivos de rede, como roteadores e firewalls.
  • IDS / IPS
  • Soluções de segurança, como a segurança de endpoint.
  • Aplicações críticas de negócios, tais como bancos de dados e servidores web.
  • Sua nuvem pública.

Mas lembre-se, como discutimos no primeiro post, as fontes de log devem primeiro ser configuradas para gerar entradas de log para os eventos que deseja acompanhar.

Ao avaliar uma solução SIEM, procure uma que ofereça suporte a uma ampla variedade de fontes de logs fora da caixa.  Procure também uma ferramenta que tenha um analisador de logs personalizado, pois isso lhe dará a flexibilidade para gerenciar qualquer fonte de log na sua rede para obter uma coleção de log verdadeiramente abrangente. Em algumas situações, como em DMZs, talvez não seja possível coletar logs diretamente. Portanto, é fundamental que a sua solução de SIEM suporte a coleta logs com agente e sem agente.

Auditoria facilitada com o SIEM

Os administradores precisam rastrear eventos de segurança de interesse que ocorrem em sua rede. Sua solução SIEM deve analisar mensagens de log, escolher dados dos campos de registro e ordenadamente colocá- lo em relatórios para que você tenha todas as informações que você precisa na ponta dos dedos. Se você está preocupado com o número de falhas de login que estão ocorrendo em sua rede, que arquivos críticos e pastas foram modificadas , ou as contas do Active Directory que foram excluídas , você pode facilmente descobrir executando relatórios para todas essas perguntas e mais uma solução com um SIEM.

Tome, por exemplo, o seu servidor web. A captura de tela abaixo mostra um relatório para os principais códigos de status gerados no servidor Web. Ao olhar para isso, você pode ter uma ideia clara da atividade que acontece no seu servidor web . Neste caso , você será capaz de ver os erros que ocorrem nele.

Os relatórios também são de valor inestimável para as equipes de TI . Uma solução SIEM ajuda a fornecer relatórios de auditoria em profundidade que garantir que você fique em conformidade com regulamentações como PCI DSS, FISMA, SOX , e muito mais. E com o GDPR entrando em vigor em maio próximo, a auditoria e as soluções SIEM se tornarão ainda mais importantes para os administradores.

Fique atento para a terceira parte desta série de blogs , onde iremos analisar SIEM para mitigação de ameaças. Os relatórios também são inestimáveis para as equipes de TI que precisam de ajuda para cumprir as exigencias de conformidade. Uma solução SIEM ajuda você a fornecer relatórios de auditoria detalhados que garantem que você continue em conformidade com regulamentos como PCI DSS, FISMA, SOX e muito mais. Fique atento para a terceira parte desta série de posts , onde iremos analisar SIEM para mitigação de ameaças.

Aproveite para conhecer melhor a ManageEngine e nossas ferramentas, contando sempre com o apoio da equipe ACSoftware a distribuidora ManageEngine no Brasil.

Fone (11) 4063 1007 – Vendas (11) 4063 9639

Deixe um comentário