O que é um SIEM?

26 de setembro de 2018 Daniel Donda Fundamentos de Segurança 0

Um SIEM (Security Information and Event Management) é uma solução de segurança e auditoria composto por componentes de monitoramento e analise de eventos.

O monitoramento e a análise em tempo real dos logs de eventos podem fornecer pistas para os problemas existentes e também futuros bem antes de eles ocorrerem. Existe ainda as necessidades regulatórias (HIPAA, PCI DSS, SOX, GDPR e muitas outras,) e que exigem que os Logs de Eventos sejam cuidadosamente monitorados e auditados.

O maior desafio na coleta de dados no contexto do SIEM é superar a variedade de formatos de log. Um sistema SIEM, por sua própria natureza, estará obtendo dados de um grande número de camadas – servidores (Windows, Linux, Unix etc), firewalls, roteadores de rede, bancos de dados e muitos outros sistemas, cada um registrando em um formato diferente.

Quando estamos tratando com logs em diversos sistemas são gerados bilhões de eventos. E para coletar e analisar a partir de uma variedade de fontes, tanto no local quanto na nuvem, fica difícil encontrar dados relevantes e entendê-los. E, no caso de uma violação de segurança, interna ou externa, a capacidade de localizar onde a violação se originou e o que foi acessado pode fazer uma grande diferença.

Um SIEM deve:

  • Coletar e armazenar volumes massivos de dados 
  • Processar e normalizar logs de diversas fontes;
  • Correlacionar eventos de diferentes fontes de dados
  • Permitir visualizar dados e eventos
  • Suporta mecanismos para conter e mitigar automaticamente eventos de segurança.
  • Proteger os dados do registro de eventos contra adulteração ou destruição.

Eu trabalhei no passado com uma solução chamada Intrust e fica fácil ter uma ideia conceitual através do diagrama a seguir,  apesar dessa solução não entrar na categoria SIEM.

https://www.quest.com/br-pt/products/intrust/ 

Como este site é vendor neutral e tem como função principal o compartilhamento de informação deixo também uma lista com 12 principais SIEMs do mercado

  1. Splunk 
  2. IBM QRadar
  3. Sentinel da Microsoft
  4. WAZUH
  5. Elastic Security
  6. Micro Focus ArcSight
  7. LogRhythm
  8. EventTracker
  9. TIBCO LogLogic
  10. Tripwire Log center
  11. Netwrix Event Log Manager
  12. SolarWinds Event Log Consolidator

Anúncio

Sobre Daniel Donda 549 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais
Website Facebook Instagram Twitter YouTube Linkedin

Artigos Relacionados

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*