Diferentes tipos de logs no SIEM e seus formatos de log

Uma solução de gerenciamento de eventos e informações de segurança (SIEM) garante uma postura de segurança saudável para a rede de uma organização, monitorando diferentes tipos de dados da rede. Os dados de log registram todas as atividades que acontecem no dispositivo e nos aplicativos na rede. Para avaliar a postura de segurança de uma rede, as soluções SIEM devem coletar e analisar diferentes tipos de dados de log.

Este artigo elabora os diferentes tipos de dados de registo que deve recolher e analisar utilizando uma solução SIEM para garantir a segurança da rede.

Tipos de dados de log

Existem seis tipos diferentes de logs monitorados pelas soluções SIEM:

Logs de dispositivo de perímetro
Logs de eventos do Windows
Logs de endpoint
Logs de aplicativos
Logs de proxy
Logs de IoT

1. Logs de dispositivos de perímetro

Dispositivos de perímetro monitoram e regulam o tráfego de e para a rede. Firewalls, redes privadas virtuais (VPNs), sistemas de detecção de intrusões (IDSs) e sistemas de prevenção de intrusões (IPSs) são alguns dos dispositivos de perímetro. Esses dispositivos geram logs contendo uma grande quantidade de dados, e os logs dos dispositivos de perímetro são vitais para a compreensão dos eventos de segurança que ocorrem na rede. Os dados de log no formato syslog ajudam os administradores de TI a realizar auditorias de segurança, solucionar problemas operacionais e compreender melhor o tráfego que passa pela rede corporativa.

Por que você precisa monitorar os dados de log de um dispositivo perimetral?

Para detectar tráfego malicioso em sua rede: Esses registros contêm detalhes sobre o tráfego de entrada, endereços IP dos sites navegados pelos usuários e tentativas de logon malsucedidas, o que ajuda a rastrear comportamento de tráfego anômalo.
Para detectar configurações incorretas de segurança: As configurações incorretas de segurança são a causa mais importante de violações de firewall. Algumas alterações nas configurações do firewall podem abrir portas para tráfego de rede malicioso. O monitoramento de logs de firewall ajuda a detectar alterações não autorizadas na configuração de segurança.
Para detectar ataques: A análise dos logs do firewall ajuda a detectar padrões na atividade da rede. Por exemplo, quando o servidor recebe, em um curto espaço de tempo, um grande número de pacotes SYN para conectar o cliente a um servidor, isso pode indicar um ataque distribuído de negação de serviço (DDoS).

Dissecando dados de log de um dispositivo de perímetro típico (firewall)

06/07/2015 11:35:26 PERMITIR TCP 10.40.4.182 10.40.1.11 63064 135 0 - 0 0 0 - - - ENVIAR

A entrada de log acima especifica o carimbo de data/hora do evento, seguido pela ação. Neste caso, indica o dia e a hora em que o firewall permitiu o tráfego. Ele também contém informações sobre o protocolo utilizado, bem como os endereços IP e números de porta de origem e destino. A partir de dados de log como esses, você pode detectar tentativas de conexão a portas que não utiliza, indicando que o tráfego é malicioso.

2. Logs de eventos do Windows

Os logs de eventos do Windows são um registro de tudo o que acontece em um sistema Windows. Esses dados de log são classificados em:

Logs de aplicações do Windows: são eventos registrados pelas aplicações no sistema operacional Windows. Por exemplo, um erro que força o fechamento da aplicações é registrado neste log da aplicações.
Logs de segurança: são quaisquer eventos que possam afetar a segurança do sistema. Inclui tentativas de login malsucedidas e instâncias de exclusão de arquivos.
Logs do sistema: contém eventos registrados pelo sistema operacional. Os logs indicam se os processos e drivers foram carregados com êxito.
Logs do serviço de diretório: contém eventos registrados pelo serviço Active Directory (AD). Ele registra operações do AD, como autenticação e modificação de privilégios. Esses logs estão disponíveis somente para controladores de domínio.
Logs do servidor DNS: são logs de servidores do sistema de nomes de domínio (DNS) com informações como endereços IP do cliente, o domínio consultado e o registro solicitado. Está disponível apenas para servidores DNS.
Logs do serviço de replicação de arquivos: contém eventos de replicação do controlador de domínio. Está disponível apenas para controladores de domínio.

Por que você precisa monitorar os logs de eventos do Windows?

Para garantir a segurança do servidor: A maioria dos servidores críticos, como servidores de arquivos e controladores de domínio AD, são executados na plataforma Windows. É essencial monitorar esses dados de log para entender o que está acontecendo com seus recursos críticos.
Segurança da estação de trabalho Windows: os logs de eventos fornecem informações valiosas sobre o funcionamento de uma estação de trabalho. Ao monitorar os logs de eventos do Windows gerados a partir de um dispositivo, as atividades do usuário podem ser monitoradas quanto a comportamentos anômalos, o que pode ajudar a detectar ataques nos estágios iniciais. No caso de um ataque, os logs podem ajudar a reconstruir as atividades do usuário para fins forenses.
Para monitorar componentes de hardware: Uma análise dos logs de eventos do Windows ajuda a diagnosticar problemas com componentes de hardware com defeito de uma estação de trabalho, indicando a causa do mau funcionamento.

Dissecando um log de eventos típico do Windows

Aviso 28/04/2020 12:32:47 PM WLAN-AutoConfig 4003 Nenhum

O Windows classifica cada evento com base em sua gravidade como Aviso, Informação, Crítico e Erro. O nível de segurança neste caso é Aviso. A entrada de log acima é do serviço WLAN AutoConfig, que é um utilitário de gerenciamento de conexão que permite aos usuários se conectarem dinamicamente a uma rede local sem fio (WLAN). O próximo segmento indica a data e hora em que o evento ocorreu. O log especifica que o WLAN AutoConfig detectou conectividade de rede limitada e está tentando a recuperação automática. Usando esse log, uma solução SIEM pode verificar logs semelhantes em outros dispositivos no carimbo de data/hora mencionado neste log, para resolver o problema de conectividade de rede.

3. Logs de endpoint

Endpoints são dispositivos conectados pela rede e se comunicam com outros dispositivos através de servidores. Alguns exemplos incluem desktops, laptops, smartphones e impressoras. Com as organizações adotando cada vez mais o trabalho remoto, os endpoints criam pontos de entrada na rede que podem ser explorados por agentes mal-intencionados.

Por que você precisa monitorar os logs de endpoint?

Para monitorar atividades em unidades de disco removíveis: As unidades de disco removíveis costumam ser vulneráveis a instalações de malware e tentativas de exfiltração de dados. Ao monitorar os logs do endpoint, essas tentativas podem ser detectadas.
Para monitorar a atividade do usuário: Os usuários são obrigados a cumprir as políticas regulatórias internas e externas de sua organização relacionadas à instalação e ao uso de software em suas estações de trabalho. Os logs de endpoint podem ser usados para monitorar essas políticas e fornecer notificações caso ocorram violações.

Dissecando um log típico de dispositivo endpoint

Erro 20/06/2019 17:00:45 PM Serviços de Terminal - Impressoras 1111 Nenhum

O log acima especifica que ocorreu um erro com o driver Terminal Services Easy Print. Isso é indicado pela origem do erro e pela ID do evento (1111). Se um usuário enfrentar problemas ao imprimir um arquivo, os registros poderão ser verificados para entender a causa exata do problema e resolvê-lo.

4. Registros de aplicações

As empresas funcionam em várias aplicações, como bancos de dados, aplicações de servidor web e outras aplicações internos para executar funções específicas. Estas aplicações são muitas vezes vitais para o funcionamento eficaz do negócio. Todas essas aplicações geram dados de log que fornecem insights sobre o que está acontecendo nas aplicações.

Por que você precisa monitorar os logs do aplicativo?

Para solucionar problemas: Esses logs ajudam a identificar e corrigir problemas relacionados ao desempenho e à segurança dos aplicativos.
Para monitorar atividades: Os logs gerados a partir de um banco de dados indicam solicitações e consultas de usuários. Isso pode ser usado para detectar acesso não autorizado a arquivos ou tentativas de manipulação de dados por parte dos usuários. Os logs também são úteis para solucionar problemas no banco de dados.

Dissecando um log de aplicativo típico

02-AGO-2013 17:38:48 * (CONNECT_DATA=(SERVICE_NAME=dev12c)

(CID=(PROGRAM=sqlplus)(HOST=oralinux1)(USER=oracle))) *

(ADDRESS=(PROTOCOL=tcp)(HOST=192.168.2.121)(PORT=21165))

* estabelecer * dev12c * 0

A entrada de log acima é de um sistema de banco de dados Oracle. O log é para uma tentativa de conexão de um computador host. O log faz referência à hora e data em que a solicitação foi recebida pelo servidor de banco de dados. Também indica o usuário e o computador host de onde a solicitação foi originada, juntamente com seu endereço IP e o número da porta.

5. Registros de proxy

Os servidores proxy desempenham um papel importante na rede de uma organização, fornecendo privacidade, regulando o acesso e economizando largura de banda. Como todas as solicitações e respostas da Web passam pelo servidor proxy, os logs do proxy podem revelar informações valiosas sobre estatísticas de uso e comportamento de navegação dos usuários do endpoint.

Por que você precisa monitorar os logs do proxy?

Para definir a linha de base do comportamento do usuário: analisar as atividades de navegação dos usuários a partir dos logs de proxy coletados pode ajudar a formar uma linha de base do seu comportamento. Qualquer desvio da linha de base pode revelar uma violação de dados e indicar que é necessária uma inspeção adicional.
Para monitorar o comprimento dos pacotes: Os logs de proxy podem ajudar a monitorar o comprimento dos pacotes trocados por meio do servidor proxy. Por exemplo, um usuário enviando ou recebendo repetidamente pacotes do mesmo comprimento dentro de um determinado intervalo de tempo pode indicar uma atualização de software ou descobrir malware trocando sinais com servidores de controle.

Dissecando um log de proxy típico

08/04/2020 14:20:55 Usuário-001 192.168.10.10 OBTER https://wikipedia.com/

O log acima especifica que o usuário-001 solicitou páginas da Wikipedia.com na data e hora indicadas no log. A análise das solicitações, URLs e carimbos de data/hora nos logs ajuda a detectar padrões e auxilia na recuperação de evidências em caso de evento.

6. Logs de IoT

Internet das Coisas (IoT) refere-se a uma rede de dispositivos físicos que trocam dados com outros dispositivos na Internet. Esses dispositivos são incorporados a sensores, processadores e software para permitir a coleta, processamento e transmissão de dados. Assim como os endpoints, os dispositivos que compõem um sistema IoT geram logs. Os dados de log de dispositivos IoT fornecem insights sobre o funcionamento dos componentes de hardware, como microcontroladores, os requisitos de atualização de firmware do dispositivo e o fluxo de dados que entra e sai do dispositivo. Uma parte crucial dos logs de dados de sistemas IoT é o local de armazenamento dos dados de registro. Esses dispositivos não possuem memória suficiente para armazenar os logs. Portanto, os logs devem ser encaminhados para uma solução centralizada de gerenciamento de logs, onde podem ser armazenados por longos períodos de tempo. A solução SIEM analisa os logs para solucionar erros e detectar ameaças à segurança.

Os logs de todas as fontes acima são geralmente encaminhados para a solução de log centralizada que correlaciona e analisa os dados para fornecer uma visão geral da segurança da sua rede. Os logs são armazenados e transmitidos em diferentes formatos, como CSV, JSON, Key Value Pair e Common Event Format.

Diferentes formatos de log

CSV

CSV é um formato de arquivo que armazena valores em formato separado por vírgula. É um formato de arquivo de texto simples, que permite que arquivos CSV sejam facilmente importados para um banco de dados de armazenamento, independentemente do software utilizado. Como os arquivos CSV não são hierárquicos ou orientados a objetos, eles também são mais fáceis de converter para outros tipos de arquivo.

JSON

JavaScript Object Notation (JSON) é um formato baseado em texto para armazenar dados. É um formato estruturado, que facilita a análise dos logs armazenados. Também pode ser consultado para campos específicos. Esses recursos adicionais tornam o JSON um formato muito confiável para gerenciamento de logs.

Par de valores-chave

Um par chave-valor consiste em dois elementos: uma chave e um valor mapeado para ela. A chave é uma constante e o valor é variável entre diferentes entradas. A formatação envolve agrupar conjuntos semelhantes de dados sob uma chave comum. Ao executar a consulta para uma chave específica, todos os dados dessa chave podem ser extraídos.

Formato de evento comum

Formato de evento comum ou Common Event Format, comumente referido como CEF, é um formato de gerenciamento de log que promove a interoperabilidade, facilitando a coleta e o armazenamento de dados de log de diferentes dispositivos e aplicativos. Ele usa o formato de mensagem syslog. O formato de registro mais utilizado, é suportado por vários fornecedores e plataformas de software e consiste em um cabeçalho CEF e uma extensão CEF que contém dados de registro em pares de valores-chave.

Estes são os diferentes tipos de dados de log e seus formatos. Coletar manualmente esses logs de todas as diferentes fontes em uma rede e correlacioná-los é um processo tedioso e demorado. Uma solução SIEM pode ajudá-lo com isso. Ela analisa os logs coletados de diferentes fontes, correlaciona os dados de log, e fornece insights para ajudar as organizações a detectar e se recuperar de ataques cibernéticos.