O gerenciamento de eventos e informações de segurança (SIEM) é uma abordagem de gerenciamento de segurança que combina as funções SIM (gerenciamento de informações de segurança) e SEM (gerenciamento de eventos de segurança) em um sistema de gerenciamento de segurança. O acrônimo SIEM é pronunciado “sim” com um e silencioso.

Os princípios básicos de cada sistema SIEM são agregar dados relevantes de fontes múltiplas, identificar desvios da norma e tomar as medidas adequadas. Por exemplo, quando um problema potencial é detectado, um sistema SIEM pode registrar informações adicionais, gerar um alerta e instruir outros controles de segurança para interromper o progresso de uma atividade.

No nível mais básico, um sistema SIEM pode ser baseado em regras ou empregar um mecanismo de correlação estatística para estabelecer relacionamentos entre as entradas do log de eventos. Os sistemas SIEM avançados evoluíram para incluir análise de comportamento de usuário e entidade (UEBA) e orquestração de segurança, automação e resposta (SOAR).

A conformidade com o padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS) originalmente impulsionou a adoção do SIEM em grandes empresas, mas as preocupações com ameaças persistentes avançadas (APTs) levaram as organizações menores a olhar para os benefícios que os provedores de serviços de segurança gerenciados (MSSPs) de SIEM podem oferecer. Ser capaz de examinar todos os dados relacionados à segurança de um único ponto de vista torna mais fácil para organizações de todos os tamanhos identificar padrões fora do comum.

Os sistemas SIEM funcionam com a implantação de vários Ple colete agentes de forma hierárquica para reunir eventos relacionados à segurança de dispositivos de usuário final, servidores e equipamentos de rede, bem como equipamentos de segurança especializados, como firewalls, antivírus ou sistemas de prevenção de intrusão (IPSes). Os coletores encaminham os eventos para um console de gerenciamento centralizado, onde os analistas de segurança analisam o ruído, conectando os pontos e priorizando os incidentes de segurança.

Em alguns sistemas, o pré-processamento pode acontecer nos coletores de borda , com apenas alguns eventos sendo passados para um nó de gerenciamento centralizado. Dessa forma, o volume de informações comunicadas e armazenadas pode ser reduzido. Embora os avanços no aprendizado de máquina estejam ajudando os sistemas a sinalizar anomalias com mais precisão, os analistas ainda devem fornecer feedback, educando continuamente o sistema sobre o ambiente.

Aqui estão alguns dos recursos mais importantes a serem analisados ao avaliar os produtos SIEM:

• Integração com outros controles. O sistema pode dar comandos a outros controles de segurança corporativa para prevenir ou interromper ataques em andamento?
• Inteligência artificial (IA). O sistema pode melhorar sua própria precisão por meio do aprendizado de máquina e do aprendizado profundo?
• Feeds de inteligência contra ameaças. O sistema pode oferecer suporte a feeds de inteligência de ameaças da escolha da organização ou é obrigatório usar um feed específico?
• Relatórios de conformidade abrangentes. O sistema inclui relatórios integrados para necessidades de conformidade comuns e fornece os organização com a capacidade de personalizar ou criar novos relatórios de conformidade?
• Recursos de análise forense. O sistema pode capturar informações adicionais sobre eventos de segurança gravando os cabeçalhos e o conteúdo dos pacotes de interesse?

Como funciona o SIEM?

As ferramentas do SIEM funcionam reunindo dados de eventos e registros criados por sistemas host, aplicativos e dispositivos de segurança, como filtros antivírus e firewalls, em toda a infraestrutura da empresa e trazendo isso dados juntos em uma plataforma centralizada. As ferramentas SIEM identificam e classificam os dados em categorias como logins bem-sucedidos e com falha, atividade de malware e outras atividades possivelmente maliciosas.

O software SIEM então gera alertas de segurança quando identifica possíveis problemas de segurança. Usando um conjunto de regras predefinidas, as organizações podem definir esses alertas como de baixa ou alta prioridade.

Por exemplo, uma conta de usuário que gera 25 tentativas de login com falha em 25 minutos pode ser sinalizada como suspeita, mas ainda assim definida como uma prioridade mais baixa porque as tentativas de login provavelmente foram feitas pelo usuário que provavelmente esqueceu suas informações de login.

No entanto, uma conta de usuário que gera 130 tentativas de login com falha em cinco minutos seria sinalizada como de alta prioridade porque é provavelmente um ataque de força bruta em andamento.

Por que o SIEM é importante?

O SIEM é importante porque torna mais fácil para as empresas gerenciarem a segurança por meio de uma filtragem massiva quantidade de dados de segurança e priorização dos alertas de segurança gerados pelo software.

O software SIEM permite que as organizações detectem incidentes que poderiam passar despercebidos. O software analisa as entradas de log para identificar sinais de atividade mal-intencionada.Além disso, como o sistema reúne eventos de diferentes fontes na rede, ele pode recriar a linha do tempo de um ataque, permitindo que uma empresa determine a natureza do ataque e seu impacto nos negócios.

Um SIEM O sistema também pode ajudar uma organização a atender aos requisitos de conformidade, gerando relatórios automaticamente que incluem todos os eventos de segurança registrados entre essas fontes. Sem o software SIEM, a empresa teria que coletar dados de registro e compilar os relatórios manualmente.

Um sistema SIEM também aprimora o gerenciamento de incidentes, permitindo que a equipe de segurança da empresa descubra a rota que um ataque segue pela rede , identifique as fontes que foram comprometidas e forneça as ferramentas automatizadas para evitar os ataques em andamento.

Benefícios do SIEM

Alguns dos benefícios do SIEM incluem o seguinte:

• encurta o tempo que leva para identificar ameaças significativamente, minimizando os danos dessas ameaças;
• oferece uma visão holística do ambiente de segurança da informação de uma organização, tornando mais fácil reunir e analisar informações de segurança para manter os sistemas seguros – todos os dados de uma organização vão para um repositório centralizado onde são armazenados e facilmente acessíveis;
• podem ser usados por empresas para uma variedade de casos de uso que giram em torno de dados ou logs, incluindo programas de segurança, relatórios de auditoria e conformidade, ele Solução de problemas de lp desk e rede;
• suporta grandes quantidades de dados para que as organizações possam continuar a expandir e aumentar seus dados;
• fornece detecção de ameaças e alertas de segurança; e
• pode realizar análises forenses detalhadas no caso de grandes violações de segurança.

Limitações do SIEM

Apesar de seus benefícios, ainda existem alguns limitações do SIEM, incluindo o seguinte:

• Normalmente, leva muito tempo para implementar porque requer suporte para garantir a integração bem-sucedida com os controles de segurança de uma organização e os muitos hosts em sua infraestrutura. Normalmente, leva 90 dias ou mais para instalar o SIEM antes de começar a funcionar.
• É caro. O investimento inicial no SIEM pode ser da ordem de centenas de milhares de dólares. E os custos associados também podem aumentar, incluindo os custos de pessoal para gerenciar e monitorar uma implementação de SIEM, suporte anual e software ou agentes para coletar dados.
• Analisar, configurar e integrar relatórios exigem o talento de especialistas. É por isso que alguns sistemas SIEM são gerenciados diretamente em um centro de operações de segurança (SOC), uma unidade centralizada composta por uma equipe de segurança da informação que lida com os problemas de segurança de uma organização.
• As ferramentas SIEM geralmente dependem de regras para analisar todos os dados registrados. O problema é que a rede de uma empresa gera um grande número de alertas – normalmente, 10.000 por dia – que podem ou não ser positivos. Consequentemente, é difícil identificar possíveis ataques devido ao número de logs irrelevantes.
• Uma ferramenta SIEM mal configurada pode perder eventos de segurança importantes, tornando o gerenciamento de risco de informações menos eficaz.

Ferramentas e software SIEM

Algumas das ferramentas no espaço SIEM, inclua o seguinte:

• Splunk. Splunk é um sistema SIEM local completo. O Splunk suporta monitoramento de segurança e oferece recursos avançados de detecção de ameaças.
• IBM QRadar. O QRadar pode ser implementado como um dispositivo de hardware, um dispositivo virtual ou um dispositivo de software, dependendo das necessidades e da capacidade de uma empresa. QRadar on Cloud é um serviço em nuvem fornecido pela IBM Cloud com base no produto QRadar SIEM.
• LogRhythm. LogRhythm, um bom sistema SIEM para organizações menores, unifica SIEM, gerenciamento de log, monitoramento de rede e endpoint e análise forense e análise de segurança.
• Exabeam. O produto SIEM da Exabeam oferece vários recursos, incluindo UEBA, um data lake, análises avançadas e um caçador de ameaças.
• RSA. RSA NetWitness Platform é uma ferramenta de detecção e resposta a ameaças que inclui aquisição, encaminhamento, armazenamento e análise de dados. A RSA também oferece SOAR.

Como escolher o produto SIEM certo

A seleção da ferramenta SIEM certa varia com base em uma série de fatores, incluindo o orçamento de uma organização e postura de segurança.

No entanto, as empresas devem procurar ferramentas SIEM que ofereçam os seguintes recursos:

• relatórios de conformidade;
• resposta a incidentes e análise forense;
• monitoramento de acesso a banco de dados e servidor;
• detecção de ameaças internas e externas;
• monitoramento de ameaças em tempo real, correlação e análise em uma variedade de aplicativos e sistemas;
• sistema de detecção de intrusão (IDS), IPS, firewall, log de aplicativo de evento e outros aplicativos e integrações de sistema;
• inteligência de ameaças; e
• monitoramento de atividade do usuário ( UAM).

História do SIEM

A tecnologia SIEM, que existe desde meados dos anos 2000, evoluiu inicialmente da disciplina de gerenciamento de log, os processos coletivos e as políticas usadas para administrar e facilitar a geração, transmissão, análise, armazenamento, arquivamento e descarte final de grandes volumes de dados de registro criados em um sistema de informação.

Os analistas da Gartner Inc. cunharam o termo SIEM no relatório Gartner de 2005, “Melhorar Segurança de TI com gerenciamento de vulnerabilidade. ” No relatório, os analistas propuseram um novo sistema de informações de segurança baseado em SIM e SEM.

Construído em sistemas de gerenciamento de coleta de registros legados, o SIM introduziu análise de armazenamento de longo prazo e relatórios sobre dados de registro. O SIM também integrou logs com inteligência de ameaças. O SEM abordou a identificação, coleta, monitoramento e relatório de eventos relacionados à segurança em software, sistemas ou infraestrutura de TI.

Então, os fornecedores criaram o SIEM combinando o SEM, que analisa dados de log e eventos em tempo real, fornecendo monitoramento de ameaças , correlação de eventos e resposta a incidentes, com SIM, que coleta, analisa e relata dados de registro.

O futuro do SIEM

As tendências futuras do SIEM incluem o seguinte:

• Orquestração aprimorada. Atualmente, o SIEM fornece às empresas apenas automação de fluxo de trabalho básico. No entanto, à medida que as organizações continuam a crescer, o SIEM precisará oferecer recursos adicionais. Por exemplo, devido ao aumento da comercialização de IA e aprendizado de máquina, as ferramentas SIEM terão que oferecer uma orquestração mais rápida para fornecer aos diferentes departamentos de uma empresa o mesmo nível de proteção. Além disso, os protocolos de segurança e a execução desses protocolos serão mais rápidos, bem como mais eficazes e mais eficientes.
• Melhor colaboração com ferramentas de detecção e resposta gerenciadas (MDR). Como as ameaças de hacking e acesso não autorizado continuam a aumentar, é importante que as organizações implementem uma abordagem de duas camadas para detectar e analisar ameaças de segurança. A equipe de TI de uma empresa pode implementar SIEM internamente, enquanto um provedor de serviços gerenciados (MSP ) pode implementar a ferramenta MDR.
• Gerenciamento e monitoramento de nuvem aprimorados. Os fornecedores de SIEM melhorarão os recursos de gerenciamento e monitoramento de nuvem de suas ferramentas para melhor atender às necessidades de segurança das organizações que usam a nuvem.
• SIEM e SOAR se transformarão em uma única ferramenta. Procure produtos SIEM tradicionais para aproveitar os benefícios do SOAR; no entanto, os fornecedores de SOAR provavelmente responderão expandindo os recursos de seus produtos.