Um monitoramento eficaz é um grande aliado de qualquer gestor de TI, não é novidade que a ausência de uma visibilidade adequada dos eventos que acontecem no ambiente pode gerar grandes problemas na gestão. Apesar disso muitas organizações ainda não se atentaram a necessidade visto que possuem a crença muitas vezes de que um SIEM ou é extremamente caro e não vale o “gasto” ou é muito complexo, o que é um mito. Com isso alimentam ainda mais o mercado criminoso que nos cerca, pois quando há muita oferta naturalmente haverá procura. A verdade é que organizações que não se protegem devidamente, criam um verdadeiro alvo apontado para si, e contam com a sorte para não serem a bola da vez. Sabemos que uma vez que toda empresa lida com diversas informações, ela estará sujeita sempre as leis que tem o objetivo de proteger as informações que lá circulam, porém como fazer isso manualmente? Com o volume de informações geradas hoje em dia é impossível, então uma solução SIEM é necessária para auxiliar na geração de relatórios de uso interno e para auditorias.
Porém existe desafios a serem superados na avaliação de uma solução SIEM, é preciso levar em consideração os recursos em cada solução oferecerá e se atenderá as necessidades da organização, por isso o gestor precisa conhecer a fundo o ambiente e suas brechas de segurança e avaliar pelo menos os recursos básicos no qual toda solução SIEM precisa oferecer.
Primeiro é preciso que a solução realize o monitoramento de segurança de rede, isto é um dos recursos principais que o gestor precisa procurar em uma solução SIEM, visto que em um ambiente temos uma “salada mista” de dispositivos, computadores,firewalls, roteadores, entre outros, sendo assim a solução a ser adquirida precisa ser capaz de monitorar recursos diferentes da rede, trazendo a visão das vulnerabilidades no qual possivelmente vão levar a um ataque à organização.
Segundo, um dos elo mais fracos desta corrente é o usuário e claro, você precisa estar de olho no comportamento deles, isso manualmente é impossível então o SIEM também precisa te dar a visão sobre o comportamento do usuário, sendo assim ele precisa aprender o comportamento padrão e ter como base esta linha, sendo assim tudo que fugir do padrão o gestor deverá ser alertado, e também deverá atribuir uma pontuação de risco aos usuário se baseando em suas ações. Tudo isso dará visão ao gestor para poder identificar comportamentos anômalos.
Terceiro, é um desafio lidar com a grande quantidade de informações atualmente, e garantir que esses dados não sejam extraviados também, isto também deve ser considerado um recursos chave em uma solução SIEM, visto que não só informações da empresa estão circulando mas de clientes e toda a sua movimentação.
Quarto, sabemos que vivemos a febre do uso da Cloud e nem por isso os cuidados devem ser diminuidos, o fato de não usar ou armazenar dados em recursos locais não diminuir a necessidade de ter um SIEM monitorando as atividades em nuvem com o objetivo de identificar ameaças em potencial.
Quinto, é necessário que realize também o monitoramento do diretório pois sabemos que um acesso indevido pode e vai causar muitos estragos, e o monitoramento do Active Directory é crucial em uma solução SIEM, pois garantirá visibilidade sobre as permissões configuradas e que as mesmas estejam conforme as políticas da empresa e demais regras.
Sexto, uma solução precisa ter uma inteligência capaz de identificar IPS maliciosos, assim como as URLS, domínios, emails dentro outras fontes de ameaças, com isso oferecer uma melhor ambientação voltada a segurança com o objetivo de diminuir o tempo de detecção e ação em relação a qualquer ameaça.
Sétimo, é claro que incidentes são um ponto inevitável em nosso ambiente, porém não ter uma forma de trata-los corretamente de fato pode ser pior que o próprio acontecido, portanto a solução SIEM deverá possuir uma capacidade de automatizar a resposta ao ocorrido, no qual terá o objetivo de diminuir o impacto gerado pelo incidente, além disso deverá emitir alertas quando os fatos ocorrerem, além do recurso de correlação de eventos para detectar possíveis investidas.
Tenha em mente que não é mais possível contar com a sorte quando se trata de monitoramento e calcule quanto tempo é gasto para localizar um mínimo evento dentro de uma organização com um fluxo de informação intenso, com esse tempo gasto o ataque já foi feito, o prejuízo já foi gerado , fora todas as multas e sanções das leis atuais, vale o risco?
O Log360 é uma solução única para todos os seus desafios de gerenciamento de log e segurança de rede. Essa solução totalmente integrada combina os recursos do ADAudit Plus, do EventLog Analyzer, do O365 Manager Plus, do Exchange Reporter Plus e do Cloud Security Plus. Com uma combinação versátil, você terá controle total sobre sua rede; poderá auditar as alterações do Active Directory, os logs de dispositivos de rede, os Microsoft Exchange Servers, o Microsoft Exchange Online, o Azure Active Directory e sua infraestrutura de nuvem pública, tudo a partir de um único console.
O que você pode fazer com o Log360?
- Monitore e audite alterações críticas do Active Directory em tempo real.
- Atenda aos requisitos rigorosos de exigências regulatórias, como PCI DSS, FISMA, HIPAA, SOX, GLBA, GPG 13 e GDPR, por meio de relatórios prontamente disponíveis.
- Receba informações completas na forma de relatórios de auditoria sobre eventos críticos no Active Directory do Azure e no Exchange Online.
- Utilize relatórios prontos em logs coletados de máquinas Windows e Linux / Unix; Servidores web IIS e Apache; Bancos de dados SQL e Oracle; e dispositivos de segurança de perímetro, como roteadores, switches, firewalls, sistemas de detecção de invasão e sistemas de prevenção contra intrusões.
- Obtenha visibilidade das infraestruturas de nuvem da AWS e do Azure.
- Gere alertas em tempo real quando endereços IP e URLs reconhecidos na lista negra de feeds baseados em STIX / TAXII são encontrados em sua rede.
- Melhore a segurança e garanta a integridade dos dados importantes em sua organização.
- Monitore, relate e audite eficientemente seus Microsoft Exchange Servers.
ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.
PodCafé da TI – Podcast, Tecnologia e Cafeína.
