Do Splunk para o Elastic – Reduzindo custos de sistemas SIEM

reducao_custos_face

Os sistemas SIEM combinam a gestão de segurança da informação (Security Information Management) e a gestão de eventos de segurança (Security Event Management) em um único sistema. Ou seja, são ferramentas poderosas capazes de coletar informações importantes sobre os sistemas de segurança das organizações ao mesmo tempo em que possibilitam olhar para todos esses dados, ou eventos, em um único ponto, permitindo detectar tendências.

Se por um lado esses sistemas estão se tornando críticos para a segurança da informação, por outro a maioria das empresas enfrenta limitações orçamentárias que os torna proibitivos. Parte desse alto custo vem das ferramentas de coleta e análise de log – a maioria delas tem seu custo de manutenção calculado pela quantidade e tamanho dos logs/eventos.

Mas existem formas de reduzir o orçamento. Um exemplo disso está em um post publicado blog da empresa Elastic – responsável pela pilha ELK (Elasticsearch, Logstash e Kibana). No post, o engenheiro de sistemas da empresa Paddy Power, Kevin Moore, conta como migrou da ferramenta Splunk para para as soluções da Elastic em 4 semanas, reduzindo seus custos consideravelmente.

Essa redução de custos para as empresas está entre as principais motivações para a criação do sistema SIEM Octopus, da Clavis, do qual o ELK é base. Por se tratar de uma pilha open source o licenciamento é retirado da conta. Além disso, a solução Octopus é totalmente escalável e customizável, permitindo inclusive o aproveitamento do legado de investimentos em SIEM já feitos.

Dedicamos duas edições do SegInfoCast ao ELK e ao sistema Octopus, ambas com o especialista em Segurança da área de Pesquisa, Desenvolvimento e Inovação da Clavis, Rodrigo Montoro. A primeira (ELK) está aqui, e a segunda (Octopus) está neste link.