O que é SIEM e quais suas principais funcionalidades?

Texto traduzido e adaptado de “SIEM vs. SOAR: What’s the Difference?“, escrito por Gedalyah Reback

SIEM significa Security Information and Event Management. As ferramentas SIEM geralmente fornecem dois resultados principais: relatórios e alertas. Os relatórios agregam e exibem incidentes e eventos relacionados à segurança, como atividades maliciosas e tentativas de login malsucedidas. Os alertas serão acionados se o mecanismo de análise da ferramenta detectar atividades que violam um conjunto de regras, sinalizando, consequentemente, um problema de segurança.

Os maiores benefícios que as ferramentas SIEM oferecem são identificação aprimorada e tempo de resposta por meio da agregação e normalização de dados. Além disso, e tão importante, eles aceleram a detecção de ameaças, alertas de segurança e atendimento aos requisitos de conformidade.

Melhorando o tempo de resposta

As ferramentas SIEM oferecem ao DevOps e às equipes de segurança a capacidade de visualizar os dados de log de aplicativo, infraestrutura e rede coletados de todos os hosts do sistema em uma única interface. Só isso acelera o processo de resposta a incidentes de segurança. Ele permite que as equipes de segurança e TI identifiquem um ataque e rastreiem as pegadas do invasor por meio dos componentes da rede. Os dados de registro centralizados ajudam a identificar quais hosts o ataque infiltrado e/ou afetado.

Detecção e Alertas

As ferramentas SIEM geralmente vêm com um mecanismo automatizado para gerar notificações sobre possíveis violações. Essas ferramentas podem responder automaticamente e até mesmo interromper os ataques enquanto eles ainda estão em andamento. Por exemplo, eles podem conter ou desconectar hosts possivelmente comprometidos, minimizando o impacto de qualquer violação. Quando se trata de lidar com eventos de segurança, velocidade e eficiência são grandes vantagens. As ferramentas SIEM fornecem isso ajudando as equipes a responder mais rapidamente a incidentes autenticados, bem como reduzindo a reputação potencial e os impactos financeiros de uma violação.

Auditoria e Conformidade

Os padrões atuais da indústria exigem que todas as empresas tenham a capacidade de localizar e apresentar informações sobre eventos. Da mesma forma, as empresas precisam ser responsáveis ​​por todas as operações feitas em seus sistemas. As capacidades das ferramentas SIEM para executar essas tarefas as tornam componentes críticos da maioria das infraestruturas da organização. Eles usam dados agregados e correlacionados para desenhar uma imagem completa dos eventos dentro dos sistemas. Isso inclui informações sobre logins, usuários, IP e fluxo de dados.

O Octopus SIEM

Clavis Segurança da Informação desenvolveu o Octopus SIEM, sistema que permite que os eventos gerados por diversas fontes de dados sejam coletados, normalizados e armazenados de forma centralizada; fornecendo assim uma visão ampla sobre o seu parque tecnológico e maior agilidade na identificação de ameaças através de técnicas de agregação e correlacionamento de dados.

O Octopus SIEM tem como base a Elastic Stack e em 2017 se tornou a 1º  parceria OEM (Original Equipment Manufacturer) da Elastic na América Latina e o primeiro caso de uso em Segurança da Informação.