Definition

SIEM ou gerenciamento de eventos e informações de segurança

O gerenciamento de eventos e informações de segurança (Security Information Events Management, SIEM) é uma abordagem para gerenciamento de segurança que combina funções de gerenciamento de informações de segurança (SIM) e gerenciamento de eventos de segurança (SEM) em um sistema de gerenciamento de segurança. A sigla SIEM é pronunciada "sim" com um e mudo.

Os princípios subjacentes de todo sistema SIEM são agregar dados relevantes de várias fontes, identificar desvios da norma e tomar as medidas apropriadas. Por exemplo, quando um possível problema é detectado, um sistema SIEM pode registrar informações adicionais, gerar um alerta e instruir outros controles de segurança a interromper o progresso de uma atividade.

Esforços de conformidade com o padrão de segurança de dados do setor de cartões de pagamento originalmente impulsionaram a adoção de SIEM em grandes empresas, mas as preocupações com ameaças persistentes avançadas levaram organizações menores a examinar também os benefícios que as ferramentas de SIEM podem oferecer. Ser capaz de examinar todos os dados relacionados à segurança de um único ponto de vista torna mais fácil para organizações de todos os tamanhos identificar padrões incomuns.

Em seu nível mais básico, um sistema SIEM pode ser baseado em regras ou empregar um mecanismo de correlação estatística para fazer conexões entre as entradas do log de eventos. Os sistemas SIEM avançados evoluíram para incluir análises de comportamento de usuários e entidades, bem como orquestração, automação e resposta de segurança (SOAR).

Os sistemas SIEM funcionam implantando vários agentes de coleta de maneira hierárquica para coletar eventos relacionados à segurança de dispositivos, servidores e equipamentos de rede do usuário final, bem como equipamentos de segurança especializados, como firewalls, programas antivírus ou sistemas de prevenção de intrusão (IPSes). Os coletores encaminham os eventos para um console de gerenciamento centralizado, onde os analistas de segurança filtram o ruído, conectando os pontos e priorizando os incidentes de segurança.

Em alguns sistemas, o pré-processamento pode acontecer nos coletores de borda, com apenas alguns eventos sendo passados para um nó de gerenciamento centralizado. Dessa forma, o volume de informações que estão sendo comunicadas e armazenadas pode ser reduzido. Embora os avanços no aprendizado de máquina estejam ajudando os sistemas a sinalizar anomalias com mais precisão, os analistas ainda devem fornecer feedback, educando continuamente o sistema sobre o ambiente.

Como funciona o SIEM?

As ferramentas SIEM reúnem dados de log e eventos criados por sistemas host em toda a infraestrutura de uma empresa e reúnem esses dados em uma plataforma centralizada. Os sistemas host incluem aplicativos, dispositivos de segurança, filtros antivírus e firewalls. As ferramentas SIEM identificam e classificam os dados em categorias, como logins bem-sucedidos e com falha, atividade de malware e outras atividades maliciosas prováveis.

O software SIEM gera alertas de segurança quando identifica possíveis problemas de segurança. Usando um conjunto de regras predefinidas, as organizações podem definir esses alertas como de baixa ou alta prioridade.

Por exemplo, uma conta de usuário que gera 25 tentativas de login com falha em 25 minutos pode ser sinalizada como suspeita, mas ainda assim ser definida com uma prioridade mais baixa porque as tentativas de login provavelmente foram feitas por um usuário que esqueceu suas informações de login.

No entanto, uma conta de usuário que gera 130 tentativas de login com falha em cinco minutos seria sinalizada como um evento de alta prioridade porque provavelmente é um ataque de força bruta em andamento.

Por que o SIEM é importante?

O SIEM facilita a gestão da segurança para empresas, filtrando grandes quantidades de dados de segurança e priorizando os alertas de segurança gerados pelo software.

O software SIEM permite que as organizações detectem incidentes que, de outra forma, poderiam passar despercebidos. O software analisa as entradas de log para identificar sinais de atividade maliciosa. Além disso, como o sistema reúne eventos de diferentes fontes na rede, ele pode recriar a linha do tempo de um ataque, permitindo que uma organização determine a natureza do ataque e seu efeito nos negócios.

Um sistema SIEM também pode ajudar uma organização a atender aos requisitos de conformidade gerando automaticamente relatórios que incluem todos os eventos de segurança registrados entre essas fontes. Sem o software SIEM, a empresa teria que coletar dados de log e compilar os relatórios manualmente.

Um sistema SIEM também aprimora o gerenciamento de incidentes ajudando a equipe de segurança da empresa a descobrir a rota de um ataque na rede, identificar as fontes que foram comprometidas e fornecer as ferramentas automatizadas para impedir os ataques em andamento.

Benefícios do SIEM

Os benefícios do SIEM incluem:

  • Redução significativa do tempo necessário para identificar ameaças, minimizando os danos dessas ameaças.
  • SIEM oferece uma visão holística do ambiente de segurança da informação de uma organização, facilitando a coleta e análise de informações de segurança para manter os sistemas seguros. Todos os dados de uma organização vão para um repositório centralizado onde são armazenados e facilmente acessíveis.
  • As empresas podem usar o SIEM para uma variedade de casos de uso que giram em torno de dados ou logs, incluindo programas de segurança, relatórios de auditoria e conformidade, suporte técnico e solução de problemas de rede.
  • SIEM oferece suporte a grandes quantidades de dados para que as organizações possam continuar expandindo e adicionando mais dados.
  • SIEM fornece detecção de ameaças e alertas de segurança.
  • Através desta abordagem, também é possível realizar análises forenses detalhadas no caso de grandes violações de segurança.

Limitações do SIEM

Apesar de seus benefícios, o SIEM também possui as seguintes limitações:

  • Pode levar muito tempo para implementar o SIEM porque requer suporte para garantir a integração bem-sucedida com os controles de segurança de uma organização e os muitos hosts em sua infraestrutura. Normalmente, leva 90 dias ou mais para instalar o SIEM antes de começar a funcionar.
  • É caro. O investimento inicial no SIEM pode chegar a centenas de milhares de dólares. E os custos associados podem aumentar, incluindo os custos de pessoal para gerenciar e monitorar uma implementação de SIEM, suporte anual e software ou agentes para coletar dados.
  • Analisar, configurar e integrar relatórios requer o talento de especialistas. É por isso que alguns sistemas SIEM são gerenciados diretamente em um centro de operações de segurança, uma unidade centralizada composta por uma equipe de segurança da informação que lida com os problemas de segurança de uma organização
  • As ferramentas SIEM geralmente dependem de regras para analisar todos os dados registrados. O problema é que a rede de uma empresa pode gerar milhares de alertas por dia. É difícil identificar possíveis ataques devido ao número de logs irrelevantes.
  • Uma ferramenta SIEM mal configurada pode perder eventos de segurança importantes, tornando o gerenciamento de riscos de informações menos eficaz.

Recursos e capacidades do SIEM

Recursos importantes a serem considerados ao avaliar produtos SIEM incluem o seguinte:

  • Agregação de dados. Os dados são coletados e monitorados de aplicativos, redes, servidores e bancos de dados.
  • Correlação. Normalmente, uma parte do SEM em uma ferramenta SIEM, a correlação refere-se à ferramenta que encontra atributos semelhantes entre eventos diferentes.
  • Painéis. Os dados são coletados e agregados de aplicativos, bancos de dados, redes e servidores e são exibidos em gráficos para ajudar a encontrar padrões e evitar a perda de eventos críticos.
  • Alertas. Se um incidente de segurança for detectado, as ferramentas SIEM podem notificar os usuários.
  • Automação. Alguns softwares SIEM também podem incluir funções automatizadas, como análise automatizada de incidentes de segurança e respostas automatizadas a incidentes.

Usuários também devem fazer as seguintes perguntas sobre os recursos do produto SIEM:

  • Integração com outros controles. O sistema pode dar comandos a outros controles de segurança da empresa para prevenir ou interromper ataques em andamento?
  • Inteligência artificial (IA). O sistema pode melhorar sua própria precisão por meio de aprendizado de máquina e aprendizado profundo?
  • Feeds de inteligência de ameaças. O sistema pode oferecer suporte a feeds de inteligência de ameaças de escolha da organização ou é obrigatório usar um feed específico?
  • Extensos relatórios de conformidade. O sistema inclui relatórios integrados para necessidades comuns de conformidade e fornece à organização a capacidade de personalizar ou criar novos relatórios de conformidade?
  • Capacidades forenses. O sistema pode capturar informações adicionais sobre eventos de segurança registrando os cabeçalhos e conteúdos dos pacotes de interesse?

Ferramentas e software SIEM

Há uma grande variedade de ferramentas SIEM no mercado, mas as seguintes são apenas uma amostra:

  • Splunk. O Splunk é um sistema SIEM local que oferece suporte ao monitoramento de segurança e oferece monitoramento de segurança contínuo, detecção avançada de ameaças, investigação de incidentes e resposta a incidentes.
  • IBM QRadar. A plataforma IBM QRadar SIEM fornece monitoramento de segurança para infraestruturas de TI. Possui coleta de dados de log, detecção de ameaças e correlação de eventos.
  • LogRhythm. LogRhythm é um sistema SIEM para organizações menores. Ele unifica gerenciamento de log, monitoramento de rede e monitoramento de endpoint, bem como análise forense e de segurança.
  • Exabeam. O portfólio SIEM da Exabeam Inc. oferece um data lake, análises avançadas e um caçador de ameaças.
  • NetWitness. A plataforma RSA NetWitness é uma ferramenta de detecção e resposta a ameaças que inclui aquisição, encaminhamento, armazenamento e análise de dados.
  • Datadog Nuvem SIEM. O Datadog Cloud SIEM da Datadog Security é um sistema de rede e gerenciamento nativo da nuvem. A ferramenta oferece monitoramento de segurança em tempo real e gerenciamento de logs.
  • Log360. A ferramenta Log360 SIEM oferece inteligência de ameaças, gerenciamento de incidentes e recursos SOAR. Os recursos de coleta, análise, correlação, alerta e arquivamento de logs estão disponíveis em tempo real.
  • Gerenciador de eventos de segurança da SolarWinds. A ferramenta SolarWinds Security Event Manager SIEM detecta ameaças automaticamente, monitora políticas de segurança e protege redes. A ferramenta oferece recursos como monitoramento de integridade, relatórios de conformidade e coleta centralizada de logs.

Como escolher o produto SIEM certo

A chave para selecionar a ferramenta SIEM certa varia de acordo com vários fatores, incluindo o orçamento e a postura de segurança de uma organização. No entanto, as empresas devem procurar ferramentas SIEM que ofereçam os seguintes capacidades:

  • relatórios de conformidade;
  • resposta a incidentes e recursos forenses;
  • monitoramento de acesso a banco de dados e servidor;
  • detecção de ameaças internas e externas;
  • monitoramento, correlação e análise de ameaças em tempo real em vários aplicativos e sistemas;
  • um sistema de detecção de intrusão, IPS, firewall, log de aplicativo de eventos e outras integrações de aplicativos e sistemas;
  • inteligência de ameaças; e
  • monitoramento da atividade do usuário.

Melhores práticas para implementar o SIEM

Siga estas práticas recomendadas ao implementar o SIEM:

  • Estabeleça metas compreensíveis. A ferramenta SIEM deve ser escolhida e implementada com base nos objetivos de segurança, conformidade e no cenário de ameaças potenciais da organização.
  • Aplique regras de correlação de dados. As regras de correlação de dados devem ser implementadas em todos os sistemas, redes e implementações de nuvem para que os dados com erros possam ser encontrados com mais facilidade.
  • Identifique os requisitos de conformidade. Isso ajuda a garantir que o software SIEM escolhido esteja configurado para auditar e relatar os padrões de conformidade corretos.
  • Liste ativos digitais. A listagem de todos os dados armazenados digitalmente em uma infraestrutura de TI ajuda no gerenciamento de dados de log e no monitoramento da atividade da rede.
  • Registre planos de resposta a incidentes e fluxos de trabalho. Isso ajuda a garantir que as equipes possam responder rapidamente aos incidentes de segurança.
  • Atribua um administrador SIEM. Um administrador de SIEM garante a manutenção adequada de uma implementação de SIEM.

História do SIEM

A tecnologia SIEM, que existe desde meados dos anos 2000, evoluiu inicialmente do gerenciamento de logs, que são os processos e políticas coletivas usadas para administrar a geração, transmissão, análise, armazenamento, arquivamento e descarte de grandes volumes de dados de log criados em um sistema de informações.

Os analistas do Gartner Inc. cunharam o termo SIEM no relatório do Gartner de 2005, "Melhore a segurança de TI com o gerenciamento de vulnerabilidades". No relatório, os analistas propuseram um novo sistema de informação de segurança baseado em SIM e SEM.

Construído com base em sistemas legados de gerenciamento de coleta de logs, o SIM introduziu análises de armazenamento de longo prazo e relatórios sobre dados de log. O SIM também integrou logs com inteligência de ameaças. O SEM abordou a identificação, coleta, monitoramento e relatórios de eventos relacionados à segurança em software, sistemas ou infraestrutura de TI.

Os fornecedores criaram o SIEM combinando SEM, que analisa dados de log e eventos em tempo real, fornecendo monitoramento de ameaças, correlação de eventos e resposta a incidentes, com SIM, que coleta, analisa e relata dados de log.

O SIEM é agora uma ferramenta mais abrangente e avançada. Novas ferramentas foram introduzidas para reduzir o risco em uma organização, como o uso de aprendizado de máquina e IA para ajudar os sistemas a sinalizar anomalias com precisão. Eventualmente, os produtos SIEM com esses recursos avançados começaram a ser chamados de SIEM de próxima geração.

O futuro do SIEM

As tendências futuras do SIEM incluem o seguinte:

  • Orquestração aprimorada. Atualmente, o SIEM fornece apenas às empresas a automação básica do fluxo de trabalho. No entanto, à medida que essas organizações continuam a crescer, o SIEM deve oferecer recursos adicionais. Por exemplo, com IA e aprendizado de máquina, as ferramentas SIEM devem oferecer uma orquestração mais rápida para fornecer aos diferentes departamentos de uma empresa o mesmo nível de proteção. Além disso, os protocolos de segurança e a execução desses protocolos serão mais rápidos, eficazes e eficientes.
  • Melhor colaboração com ferramentas gerenciadas de detecção e resposta (MDR). Como as ameaças de hacking e acesso não autorizado continuam a aumentar, é importante que as organizações implementem uma abordagem de dois níveis para detectar e analisar ameaças de segurança. A equipe de TI de uma empresa pode implementar o SIEM internamente, enquanto um provedor de serviços gerenciados pode implementar a ferramenta MDR.
  • Gerenciamento e monitoramento de nuvem aprimorados. Os fornecedores de SIEM melhorarão os recursos de gerenciamento e monitoramento de nuvem de suas ferramentas para melhor atender às necessidades de segurança das organizações que usam a nuvem.
  • SIEM e SOAR evoluirão para uma ferramenta. Procure produtos SIEM tradicionais para aproveitar os benefícios do SOAR; no entanto, os fornecedores de SOAR provavelmente responderão expandindo os recursos de seus produtos.

De acordo com um artigo recente da Forbes, o futuro do SIEM pode envolver os seguintes cinco resultados possíveis:

  1. Os modelos de precificação baseados no uso para SIEM se tornarão comuns.
  2. As ferramentas de análise serão construídas em plataformas de dados SIEM universais.
  3. Organizações farão parcerias para fornecer mais integrações.
  4. O custo do SIEM cairá, tornando o SIEM mais acessível para equipes de segurança menores.
  5. Startups abordarão mais desafios multifacetados de gerenciamento de segurança.

 

Este conteúdo foi atualizado pela última vez em Março 2023

Saiba mais sobre Auditoria e conformidade