Gestão de Logs e Fundamentos do SIEM: Introdução

Os ataques cibernéticos e as violações da rede podem levar até as maiores organizações a seus joelhos. Recentemente , é claro , tivemos o ataque Wanschry Ransomware , que não só destacou as terríveis conseqüências das vulnerabilidades de segurança, mas também reiterou a necessidade de um software de segurança de ponta.

A meu ver, os administradores de segurança têm o trabalho mais difícil que existe, quando as coisas estão funcionando sem problemas esta tudo bem, porém, quando as coisas vão mal eles entram no centro das atenções.  É uma batalha diária entre a segurança dos administradores e hackers no atual cenário de TI e soluções de segurança preventivas não são suficientes.

Nesta série de posts de quatro partes , o objetivo é instruir em uma solução de segurança imprescindível em qualquer empresa : SIEM ( informações de segurança e gerenciamento de eventos).

Em geral, o SIEM (pronunciado “sim”), embora eu prefira dizer “SIEM”) envolve a coleta e análise de informações de segurança de toda a sua rede para lhe dar uma imagem clara do que está acontecendo e alertá-lo sobre eventos de segurança de interesse. Esta primeira parte da série é tudo sobre o básico.

Gerenciamento de Logs e SIEM

O gerenciamento de log centraliza a coleta de dados de log de diferentes sistemas em sua organização e ele é a base do SIEM. Assim, uma solução de SIEM aproveita o poder dos dados de log gerados pelas máquina para lhe auxiliar. Como um profissional de TI, você sabe o quão poderoso é o log de dados.  Os inestimáveis ​​detalhes contidos nas mensagens de logs podem ajudar a proteger sua rede. Aqui está o que uma mensagem de log pode parecer:

id=firewall sn=C0EAE47EE4D8 time=”2016-03-28 10:55:47″ fw=68.15.133.136 pri=1 c=512 m=522 msg=”Malformed or unhandled IP packet dropped” sess=None n=47144 src=10.5.41.240:0:X0 dst=10.5.112.107:0:X0:03S-LDSRV3

Esta mensagem de log nos diz que uma conexão foi negada pelo firewall. E se você receber vários desses registros do seu firewall para conexões negadas da mesma fonte dentro de um curto período de tempo um potencial ataque poderia estar em andamento em sua rede.

Identificar tais eventos pode ser desafiador porque as mensagens de registro – embora tipicamente legíveis por humanos – são muito densas para analisar Não só isso, mas pode haver variações no formato de log de fornecedor para fornecedor para o mesmo tipo de dispositivo . Um registro do SonicWall como você pode ter visto, não parecerá um registro do dispositivo Juniper.

Mais importante ainda, uma vez que você coleta e centraliza os logs em sua organização, você não pode analisar dados de log na sua organização manualmente. Isso ocorre porque os dados do registro podem ser maciços. Firewalls, sistemas de detecção de intrusão e sistemas de prevenção de intrusão, por exemplo, podem ter EPS (eventos por segundo) em milhares e sem esforço gerar terabytes de dados de registro, tornando praticamente impossível manipular sem uma solução SIEM.

Então, como começamos?

Você precisa fazer duas coisas . Primeiro, você precisa  dizer para o dispositivo que eventos devem gerar entradas de registo. Você, obviamente, não quer uma entrada de log para cada evento rotineiro único que ocorra em sua rede- que aumentaria apenas o tamanho dos dados de logs.

Por exemplo, em suas máquinas Windows, você pode configurar o que é conhecido como a política local (ou grupo). Para suas máquinas Unix e dispositivos de rede, você precisa configurar o serviço Syslog. E a mesma idéia se estende para aplicações também.

É importante aqui configurar de forma otimizada a política de auditoria ou o serviço de registro depois de analisar seus requisitos, porque você deseja obter logs para o conjunto correto de eventos. Ótimo! Agora, seus dispositivos vão registrar eventos que o preocupam.

Em segundo lugar, você precisa de uma solução que colete todas essas mensagens de log em uma localização central, que é a sua ferramenta SIEM. Precisamos dessa agregação para dar mais contexto aos dados de log de segurança. Isso ocorre porque cada solução de segurança individual oferece apenas uma visão limitada do que está acontecendo em sua rede e a centralização de dados de logs de diferentes fontes fornecem informações mais profundas sobre a atividade da rede.

A solução SIEM usa essas informações para capacitá-lo com relatórios de auditoria, que analisaremos na próxima publicação desta série . Sua solução SIEM também correlacionará eventos em tempo real para alertá-lo sobre eventos suspeitos e também capacitá-lo com um mecanismo de pesquisa de log para realizar uma investigação forense no caso de um incidente de segurança. Nós estaremos olhando mais para isso nos próximos posts. Não deixe de acompanhar!

Aproveite para conhecer melhor a Manage Engine e nossas ferramentas, contando sempre com o apoio da equipe ACSoftware a distribuidora ManageEngine no Brasil.

Fone (11) 4063 1007 – Vendas (11) 4063 9639

Deixe um comentário