Podendo fazer parte de uma política de cibersegurança organizacional, as ferramentas SIEM (Security information and Event Management) são capazes de otimizar o trabalho de profissionais dessa área, sobretudo, o de gestão de logs.
De forma geral, a tecnologia compreende a união de outras duas ferramentas, SIM (Security Information Management) e SEM (Security Event Management), implementadas por meio de softwares proprietários ou open source para auxiliar o arquivamento e registro de informações pertinentes às empresas, bem como para fornecer relatórios e alertas da rede de um negócio.
Neste artigo vamos comentar os principais tópicos abordados sobre o assunto no evento online e gratuito da Escola Superior de Redes, “Correlacionamento de eventos com o SIEM open-source Graylog”. Continue conosco.
Você irá ver por aqui:
- O que são logs
- Necessidades e desafios organizacionais para gestão de logs e cibersegurança com enfoque em registros de informação
- Planejamento e políticas de gestão
- O que são SIEMs
- SIEM Graylog e suas principais funcionalidades
Como as ferramentas SIEM são utilizadas no mercado?
Proteger redes e dados contra invasões e ataques é o trabalho mais básico e crítico de uma equipe de segurança.
Nesse sentido, para obter visibilidade e o devido controle dos diversos eventos observados em aplicações de rede, sistemas e aplicações as soluções, as ferramentas SIEM se tornam fundamentais.
Por isso, elas contribuem para uma política de cibersegurança efetiva e melhor estruturada, garantindo a gestão de logs e insights para melhorias nessa área.
Assim, para compreender o conceito por trás da tecnologia, é preciso entender o que são logs, como a gestão desses registros pode ajudar principalmente no que tange o serviço de “respostas a incidentes” de forma mais efetiva e direcionada, além de quais os desafios enfrentados pelas empresas neste contexto.
O que é uma gestão de log?
De acordo com o NIST (2006), documento bastante referenciado quando se fala em gestão de políticas de logs, esse termo define os registros de eventos ocorridos nos sistemas de redes de uma organização.
É comum que logs sejam utilizados para o que se chama em TI de troubleshooting (solução ), ou seja de forma reativa após alguma intercorrência.
Entretanto, mais recentemente, os logs têm sido utilizados em outras ocasiões, como: em otimização de performance, registro de usuários e auditoria, bem como na investigação de eventos maliciosos e nas análises forenses/resposta a incidentes.
Através desse gerenciamento de registros, compreendendo quais informações são de fato relevantes para empresas e quais podem ser descartadas, é possível fazer a mitigação de riscos e danos à segurança da rede, e também de potencializar o entendimento acerca de eventos maliciosos já ocorridos.
Nesse sentido, os eventos de logs são categorizados de forma diferentes. Ainda de acordo com o NIST, há os logs gerados por ferramentas de segurança da informação e os logs gerais de SO (sistemas de operação) e aplicação com dados variados (incluindo os de segurança).
Por isso a gestão de logs não é uma tarefa simples, requerendo a associação de ferramentas como as SIEM.
Quais desafios levam as empresas a buscarem as ferramentas SIEM?
Mesmo que cada empresa possua uma estrutura própria, de rede e de cultura organizacional, a maior parte delas observa desafios comuns que as levam a buscar uma resolução de problemas de forma mais ortogonal. São eles:
- Necessidade de adequação a leis e regulamentos que estabelecem padrões mínimos para retenção e tratamento de dados (LGPD/Br, SOX/Us, Marco Civil da Internet/Br, PCI DSS/internacional, GDPR/Eu, HIPAA/Us, GLBA/Us, FISMA/Us).
- Os logs são uma peça-chave da equação pois permitem demonstrar aderência organizacional .
- O compliance e deve ser realizado continuamente
- A não conformidade com os documentos de segurança e os que tratam da regulamentação da rede pode implicar em sanções legais, multas e até bloqueio de atividades
- Além disso, o conhecimento necessário para atuar com cibersegurança, gestão de logs e ferramentas SIEM demanda atualização permanente. A exemplo disso, há além de todas as regulamentações citadas anteriormente, outra normativa que orienta o arquivo de registros que devem ser mantidos pelas organizações: a NC 21/IN01/DSIC/GSIPR.
Nesse contexto, há ainda situações que afetam todo tipo de organização e podem ser divididas da seguinte forma:
Desafios de gerações e armazenamento
- Muitas fontes de logs
- Conteúdo inconsistente
- Timestamps Inconsistentes
- Diferentes formatos
Desafios de proteção e anonimização
- Autenticação e autorização
- Agentes maliciosos
- Alto volume de disponibilidade
- Tempo de retenção
Desafios de análise e correção
- Automação de detecção
- Análises em tempo real
- Processos pró-ativos, não reativos
- Correção de entradas relacionadas
Como realizar um planejamento e uma política de gestão de logs efetiva?
Visando superar esses desafios você pode se perguntar, “afinal, qual caminho trilhar para que a minha empresa realmente implemente uma política de cibersegurança e de logs de forma estratégica?”.
O primeiro passo é o entendimento que de uma gestão de logs envolve uma série de profissionais, como administradores de sistemas e redes, analistas de segurança, CSIRTs, desenvolvedores, gestores de SE, CIOs, auditores e equipe de aquisições.
Cada um deles tem responsabilidades típicas, existindo várias atribuições que são comumente relacionadas à esse tipo de gestão, desde a contratação de administradores de sistemas para que a empresa obtenha mais informações sobre eventos ou consiga requerer investigação adicional, até o efetivo arquivamento de registro e eventos antigos assertivamente, eliminando-se aqueles que não são mais necessários.
A gestão de logs também auxilia na otimização das auditorias e da cibersegurança, por isso permeia todos os departamentos da empresa.
Para que ela seja realizada acertadamente, é necessário a elaboração de um documento que defina o detalhamento da uma política de logs de uma empresa, contendo os requisitos mínimos que a organização precisa seguir para conformar interna e externamente os eventos que ela está relacionada.
A ação demanda pensar quais são os requisitos mínimos que devem ser abraçados em três cenários distintos: de baixo, moderado e alto impacto.
Como são muitas as etapas, registros e arquivos, as ferramentas SIEM representam um avanço para dar à gestão de log mais efetividade.
O que são ferramentas SIEM?
Do ponto de vista operacional, poucos elementos podem auxiliar mais na mitigação desses desafios elencados acima, quanto aquelas relacionadas às ferramentas SIEM (Security information and Event Management).
Como mencionamos anteriormente, essa é uma tecnologia que compila outras duas ferramentas: SIM (Security Information Management) e SEM (Security Event Management), tendo sido unidas em uma única categoria de ferramenta para otimizar a gestão de logs.
Segundo Gartner (2021), as empresas buscam essa tecnologia visto que ela abrange uma série de vantagens, como:
> Funcionalidades de reporting e dashboards.
> Realiza processamento, normalização e enriquecimento de dados.
> Coleta eventos de segurança de uma miríade de fontes (redes, dispositivos, sistemas e aplicações).
> Provê análise histórica em tempo real, alertando ameaças.
> Atende a requerimentos de compliance e provê relatórios comprobatórios.
> Tratamento e workflows e gestão de casos para equipes de incident response (SOC).
> Sistemas avançados de busca para análise forense e threat hunting (SOC).
> Integrações e automações para estender a proposta de valor e funcionalidade.
Embora a SIEM também seja oferecida por proprietários, há alguns softwares open source que oferecem funcionalidades similares à ferramenta, por exemplo: o Graylog, Elastic, Ossec, entre outras.
O que é o Graylog
O Graylog é um dos software open source com funcionalidades similares às ferramentas SIEM e com o diferencial de contar com aprendizado amigável.
Foi criado em 2009, por Lennart Koopman e Hass Chapman, capitalizado por grupos de investimento em 2014, e com sua primeira versão enterprise lançada em 2016.
Atualmente é mantido pela Graylog Inc, uma empresa privada baseada em Houston (TX/USA) com mais de 50 mil instalações reportadas.
A tecnologia possui uma versão comunitária capaz de executar as demandas das empresas com muita qualidade. Além disso, outras características destacam a ferramenta.
- Assim como em outros concorrentes open source, o Graylog baseia sua arquitetura em 3 componentes principais: Graylog engine e API, Elasticsearch e MongoDB.
- Há como inserir dados na ferramenta, como GELF.
- Há extratores.
- Suporta eventos e alertas,
- Conta com várias funcionalidades de dashboards visuais
- Permite o correlacionamento de eventos.
Conclusão
Resumindo, as plataformas SIEM geralmente fornecem relatórios e alertas, através de análises de eventos e dados de registros (logs) em tempo real para correlacionar eventos, monitorar ameaças e responder a incidentes.
Diversas soluções open-source e gratuitas apresentam-se como excelentes alternativas para atender esse tipo de demanda; destas, a plataforma Graylog certamente configura uma das escolhas mais populares e de mais amigável curva de aprendizado, especialmente para profissionais das áreas de administração de sistemas e segurança.
Confira na íntegra o webinar da ESR sobre o tema e continue a construção do seu conhecimento conosco. É gratuito e por aqui!
A ESR também é responsável pelo curso de “Correlacionamento de eventos com Graylog“, no qual os participantes entendem quais são os aspectos teóricos e legais sobre gestão de logs e retenção de dados.
Complementando, a ementa conta também com o aprendizado da operacionalização desses procedimentos através do SIEM open source Graylog, além da instalação, configuração e manutenção da ferramenta. Outro tópico tratado se relaciona com a criação de filtros e pipelines de processamento de eventos, construção de dashboards amigáveis e alertas administrativos.