CAPÍTULO 2
Funções do SIEM.
As soluções de gerenciamento de eventos e informações de segurança (SIEM) proporcionam uma visão holística de todas as atividades que acontecem numa infraestrutura de TI através do monitoramento das atividades da rede e da utilização de inteligência de ameaças e da análise de comportamento de usuários e entidades (UEBA) para detectar e mitigar ataques.
Gerenciamento de logs.
O gerenciamento de logs envolve a coleta, normalização e análise de dados de log e é usado para obter melhor visibilidade das atividades da rede, detectar ataques e incidentes de segurança e atender aos requisitos dos mandatos reguladores de TI. Para uma análise eficaz dos logs, as soluções de SIEM empregam diferentes processos, tais como correlação de logs e análise forense, que ajudam a detectar violações de dados e ataques em tempo real. O gerenciamento de logs também inclui o arquivo seguro de dados de log para manter logs durante um período personalizado.
Gerenciamento de incidentes.
Um incidente de segurança é um evento anormal de atividades regulares em uma rede. Um incidente é capaz de colocar os dados confidenciais de uma organização em risco e pode levar a uma violação de dados ou a um ataque, mas nem sempre. O gerenciamento de incidentes inclui detecção e mitigação de incidentes de segurança.
A detecção de incidentes é o processo de identificação de uma ameaça de segurança que ocorre em uma rede. Pode detectar incidentes utilizando várias técnicas, como correlação de logs, UEBA e análise de ameaças.
A resolução de incidentes refere-se à solução de um incidente ou ataque na rede e à obtenção da rede de volta a um estado funcional. As soluções de SIEM fornecem vários fluxos de trabalho que podem ser executados automaticamente quando um alerta é acionado. Esses fluxos de trabalho ajudam muito a evitar que os ataques se espalhem lateralmente dentro da rede.
Auditoria de acesso privilegiado.
As contas de usuário privilegiadas são aquelas com privilégios de administrador. Estes privilégios podem permitir ao usuário instalar, remover ou atualizar software; modificar configurações do sistema; criar, modificar ou alterar permissões de usuário; e muito mais.
As contas privilegiadas são de importância fundamental para garantir a segurança da rede, uma vez que apenas uma conta de usuário privilegiada comprometida pode dar a um invasor mais acesso aos recursos da rede. É essencial rastrear e auditar as ações de usuários privilegiados e gerar alertas em tempo real para atividades anormais. O monitoramento de contas de usuário privilegiadas pode ajudar a rastrear e impedir ataques de pessoas com informações privilegiadas, pois essas contas têm permissão para observar as atividades de outros usuários em uma rede. Se os usuários tentarem aumentar os seus privilégios, poderá ser uma ameaça potencial. As soluções de SIEM podem detectar tal comportamento e auditar as atividades dos usuários privilegiados para melhorar a segurança da rede.
Inteligência contra ameaças.
A inteligência contra ameaças é essencial para evitar que um ataque ocorra em vez de reagir ao incidente depois que ele acontece. A inteligência contra ameaças combina o conhecimento obtido a partir de evidências, informações contextuais, indicadores e respostas de ação coletadas de várias ameaças, e produz instâncias concretas de indicadores de comprometimento (COI). Também pode fornecer informações sobre as táticas, técnicas e procedimentos (TTPs) envolvidos nas ameaças emergentes e pode monitorar as atividades atuais da rede para detectar padrões anômalos. A inteligência contra ameaças incorpora ferramentas de inteligência artificial (IA) e aprendizagem de máquina (ML) para distinguir padrões regulares e irregulares numa rede para determinar se uma atividade representa uma ameaça para a rede.
Segurança da nuvem.
A segurança da nuvem envolve a proteção de dados e infraestrutura hospedada em plataformas em nuvem. As plataformas em nuvem são igualmente vulneráveis quanto plataformas no local quando se trata de segurança. As soluções de SIEM ajudam os administradores de segurança de TI a proteger as plataformas em nuvem, detectando anomalias na rede, comportamentos anormais do usuário, acesso não autorizado a recursos críticos e muito mais.
Análise de comportamento e entidade do usuário (UEBA).
As soluções de UEBA em SIEM baseiam-se geralmente em ML ou IA e analisam o padrão de trabalho normal de um usuário, ou a forma típica como um determinado usuário acessa à rede diariamente. Elas podem detectar desvios em relação ao comportamento normal, emitir um alerta e notificar o administrador de segurança imediatamente.
Quanto mais informações a solução de SIEM processa de diferentes fontes, como roteadores, firewalls, controladores de domínio, aplicações, bases de dados, e qualquer dispositivo computacional em uma rede, quanto mais precisa a detecção de anomalias pode se tornar ao longo do tempo. A UEBA utiliza técnicas de ML e algoritmos de IA para processar a informação, aprender os padrões de ameaças e identificar se um padrão específico numa rede é semelhante a uma anomalia de ameaça que já se tenha ocorrido anteriormente. Com esta detecção, a UEBA ajuda a gerar alertas em tempo real e utiliza a automação na prevenção de ameaças para torná-la mais fiável.
Proteção de dados.
Um dos principais objetivos dos profissionais de segurança é evitar a perda ou a exfiltração de dados sensíveis. As soluções de SIEM ajudam a detectar, mitigar e evitar violações de dados através do monitoramento contínuo do comportamento do usuário. As soluções de SIEM rastreiam acessos a dados críticos e identificam acessos não autorizados ou tentativas de acesso. Elas também observam escalações de privilégios em contas de usuários e de quaisquer alterações nos dados feitas por essas contas. Quando estas capacidades de detecção são combinadas com o gerenciamento do fluxo de trabalho, os administradores de segurança podem configurar a solução de SIEM para evitar atividades maliciosas na rede.