Gerenciamento e analise de Logs

Cada dispositivo e aplicativo em sua rede gera logs, que podem conter dados cruciais de integridade e segurança da sua organização. Por exemplo, os logs de eventos podem registrar alterações de configuração, movimentação de arquivos e diretórios, , alterações de contas privilegiadas, etc.

Softwares analisadores de log desempenham um papel crucial na operação de segurança pois permite correlacionar e acionar recursos de inteligência permitindo melhores resultados.

O processo de gerenciamento e analise de logs consiste consiste basicamente em:

  • Coletar
  • Analisar
  • Monitorar
  • Armazenar

Os logs vêm de diferentes fontes, eles podem ser estruturados, semiestruturados e até mesmo não estruturados. Não é fácil inspecionar e analisar esses logs usando métodos tradicionais. Portanto é importante ter ferramentas de normalização de log ou análise de log para processamento adicional.

Além dos LOGS de estações, servidores e aplicações temos que concentrar também:

  • Firewalls.
  • Roteadores e switches.
  • Pontos de acesso sem fio.
  • Relatórios de vulnerabilidade.
  • Antivírus e antimalware.

Coleção de LOGS

A coleção ou agregação de logs é o processo de coleta de logs de vários sistemas de computação, analisando-os e extraindo dados estruturados e reunindo-os em um formato facilmente pesquisável.

Existem quatro maneiras comuns de agregar logs segundo o site “Exabeam“, mas muitos sistemas de agregação de log combinam vários métodos.

  • Syslog – Um protocolo de registro padrão. Os administradores de rede podem configurar um servidor Syslog que recebe logs de vários sistemas, armazenando-os em um formato eficiente e condensado, facilmente consultável. Os agregadores de log podem ler e processar diretamente os dados do Syslog. A RFC 5424 define o padrão do Syslog o que permite fácil integração.
  • Transmissão de eventos – Protocolos como SNMP, Netflow e IPFIX permitem que os dispositivos de rede forneçam informações padrão sobre suas operações, que podem ser interceptadas pelo agregador de logs, analisadas e adicionadas ao armazenamento central de logs.
  • Coletores de registros – Agentes de software que são executados em dispositivos de rede, capturam informações de log, analisam e enviam para um componente agregador centralizado para armazenamento e análise.
  • Acesso direto – Os agregadores de log podem acessar diretamente dispositivos de rede ou sistemas de computação, usando uma API ou protocolo de rede para receber logs diretamente. Essa abordagem requer integração personalizada para cada fonte de dados.

SIEM (Security Information and Event Management)

Um SIEM (Security Information and Event Management) é uma solução de segurança e auditoria composto por componentes de monitoramento e analise de eventos.

SIEM Azure Sentinel

Cresce a cada dia o uso do SIEM Azure Sentinel por vários fatores, um dos principais é a facilidade pois é parte do ecosistema de cloud Microsoft.

Outro fator é que permite coletar dados em escala de todos os usuários, dispositivos, aplicativos e infraestrutura, tanto no local quanto em várias nuvens.

Cenário de soluções de gerenciamento de logs

Uma infraestrutura de rede corporativa pode conter diversos softwares e cenários variados que geram uma infinidade de logs.

  • Firewall
  • Switch
  • Windows Event Log
  • Web Server Logs
  • Database LogsSistema Operacional
  • Aplicações
  • Windows/MAC/Linux
  • Sistemas de segurança

Controle CIS 8 – Gerenciamento de Log de Auditoria

Colete, alerte, revise e retenha logs de auditoria de eventos que podem ajudar a detectar, entender ou se recuperar de um ataque.

  • 8.1 Estabelecer e manter uma rede de processos de gerenciamento de log de auditoria
  • 8.2 Coleta de Rede de Logs de Auditoria
  • 8.3 Garantir a Rede de Armazenamento de Logs de Auditoria Adequada
  • 8.4 Padronizar Rede de Sincronização de Horário
  • 8.5 Coleta de Rede de Logs de Auditoria Detalhados
  • 8.6 Coletar Rede de Logs de Auditoria de Consulta DNS
  • 8.7 Coletar Rede de Logs de Auditoria de Solicitação de URL
  • 8.8 Coletar dispositivos de logs de auditoria de linha de comando
  • 8.9 Centralizar a Rede de Logs de Auditoria
  • 8.10 Reter a Rede de Registros de Auditoria
  • 8.11 Conduzir a Rede de Revisão de Logs de Auditoria
  • 8.12 Coletar Dados de Logs do Provedor de Serviços

Consulte os detalhes em https://www.cisecurity.org/controls/cis-controls-navigator/

Anúncio

Sobre Daniel Donda 549 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

6 Comentários

    • Obrigado Marcelo !! Falar sobre a melhor é complicado. Pq cada uma sempre terá um diferencial. (E se eu falar geralmente dá briga hahahaha). No fim os mais usados eu deixei os logos na ilustração.

Faça um comentário

Seu e-mail não será divulgado.


*