Benefícios do uso de SIEM em um SOC
Vamos lá!
O que é um SIEM e como ele funciona?
Um SIEM (Security Information Event Management) é um sistema de gerenciamento de logs de segurança que coleta arquivos de log, alertas e eventos de segurança em um local centralizado, que permite que analistas de segurança e equipes de tratamento de incidentes analisem os dados de forma eficiente. Como consequência, um SIEM auxilia no gerenciamento de incidentes e eventos de segurança por meio do registro de dados históricos e em tempo real dos eventos de segurança. Além disso, um SIEM geralmente cria relatórios por meio de um dashboard principal.
Temos dois tipos de tecnologia SIEM.
O Gartner, em 2017, atualizou a definição de um SIEM para incluir duas outras tecnologias:
UEBA: User Entity Behavior Analytics, que é uma camada de tecnologia analítica, rastreia o comportamento normal, ou seja, cria um baseline, e anormal do usuário para entidades como, servidores, bancos de dados e dispositivos. O UEBA ajuda a analisar o comportamento anormal de dispositivos, como computadores enviando grandes quantidades de dados pela primeira vez ou logins de pontos incomuns na rede. Esses incidentes são sinalizados para investigação adicional.
SOAR: Security Orchestrartion Animation Response automatiza os procedimentos realizados por analistas de segurança na resposta a incidentes, melhorando a eficiência no SOC e reduzindo o risco geral.
Qual o benefício de um SIEM em um SOC?
A coleção central de dados de incidentes de todos os dispositivos da rede fornece um conjunto de dados para que os analistas de segurança conduzam sua investigação em vez de examinar cada sistema de forma individual. No caso de um incidente de segurança, os SIEMs constituem uma entidade fundamental nos Centros de Operações de Segurança (SOC) na condução de análises forenses. Um SOC complementa o sistema SIEM fornecendo os recursos necessários, como analistas de segurança que realizam investigações forenses, que envolvem a análise de eventos de rede em tempo real, investigação de incidentes de segurança, resposta a eventos de segurança e prevenção e atualização pós-incidentes de segurança cibernética.
Ao registrar dados de dispositivos de rede (logs) , é importante sincronizar a hora em todos os dispositivos, caso seja necessário investigar a ocorrência de um evento em um determinado horário. Por exemplo, uma investigação forense sobre os eventos que ocorreram entre o roteador e o servidor web em um período específico pode fornecer uma visão precisa sobre como um ataque foi executado. O Network Time Protocol (NTP) é um protocolo padronizado amplamente usado que permite a sincronização de todos os dispositivos na rede para uma única fonte de relógio, o que fornece uma sincronização de tempo precisa, bem como flexibilidade.
Após a coleta de logs, um SIEM requer uma maneira de transferir esses dados de dispositivos e uma maneira de armazenar os dados. A maneira mais comum de transferir dados de log para SIEMs é por meio do método de transferência padrão Syslog. O SIEM usará um receptor central para receber os logs e armazená-los; portanto, SIEMs também precisam de grandes recursos de armazenamento.
O QRadar é um exemplo de SIEM que fortalece a postura de segurança de uma organização , fornecendo resposta automatizada de incidentes e detecção de ameaças.
