Gerenciamento de eventos e informações de segurança (SIEM)

O que é o gerenciamento de eventos e informações de segurança?

O SIEM (Security Information and Event Management, gerenciamento de informações e eventos de segurança) coleta e consolida dados de registros e eventos para ajudar os SOCs (Security Operations Centers, centros de operações de segurança) a reconhecer e corrigir proativamente possíveis ameaças e vulnerabilidades. Uma solução SIEM combina o Gerenciamento de Informações de Segurança (SIM) e o Gerenciamento de Eventos de Segurança (SEM) em uma plataforma única e unificada que coleta registros de segurança e monitora a atividade da rede em tempo real. Inicialmente assumindo a forma de sistemas simples de gerenciamento de dados e de alertas de segurança, as soluções SIEM evoluíram para incorporar funcionalidades como UEBA (User and Entity Behavior Analytics) e orquestração de dados mais avançada. 

O SIEM fornece os insights e as informações necessárias para identificar, rastrear e responder melhor aos incidentes de segurança. 

Benefícios do SIEM

Os principais benefícios do SIEM incluem o seguinte: 

  • Detecção de ameaças em tempo real em toda a infraestrutura de rede de uma organização
  • Melhoria significativa do tempo médio de detecção e do tempo médio de resposta a incidentes e eventos de segurança
  • Conformidade regulamentar simplificada graças à auditoria e aos relatórios centralizados
  • Uma visão única e unificada dos dados de segurança, incluindo possíveis ameaças.
  • Acesso à inteligência avançada contra ameaças
  • Maior transparência no monitoramento de usuários, dispositivos e aplicativos
  • Investigações pós-incidente mais fáceis e eficazes

Como funciona o SIEM

As soluções SIEM agregam e analisam dados de logs e eventos para identificar possíveis ameaças que podem escapar à atenção da equipe humana. Os dados coletados costumam ter um escopo bastante amplo e incluem logs de sistemas, aplicativos, dispositivos e ferramentas de segurança. As ferramentas SIEM também são configuradas para sinalizar ameaças específicas predefinidas, como logins com falha e possíveis atividades mal-intencionadas.

Quando uma ferramenta SIEM identifica uma ameaça em potencial, ela gera um alerta de segurança que é encaminhado aos SOCs como uma notificação. Esses alertas geralmente não são classificados e nem categorizados, embora as equipes de segurança possam aplicar um conjunto de regras predefinidas para dar suporte à priorização inteligente. Por exemplo, um usuário que gera três tentativas de login fracassadas seguidas de uma bem-sucedida provavelmente esqueceu a senha, enquanto um usuário que gera 30 tentativas de login fracassadas em alguns minutos representa um possível ataque de força bruta. 

Recursos e capacidades do SIEM

Embora algumas ferramentas SIEM sejam mais avançadas do que outras, todas incluem, no mínimo, as seguintes funcionalidades básicas.

Gerenciamento de registros

Uma solução SIEM coleta dados de eventos de toda a rede de uma organização, armazenando e analisando essas informações em tempo real. O escopo desses dados costuma ser bastante amplo e inclui informações geradas por usuários, aplicativos, ativos físicos, ativos virtuais, ambientes de nuvem, ferramentas de segurança e ativos de rede. Em geral, uma solução SIEM também categoriza e armazena esses dados para fins de conformidade. 

Algumas plataformas SIEM também podem incorporar dados de ameaças externas e inteligência de ameaças de terceiros, embora essa funcionalidade seja normalmente reservada para ferramentas de orquestração, automação e resposta de segurança (SOAR). 

Correlação de eventos

A correlação de eventos é onde a parte de análise do SIEM entra em cena. À medida que coleta dados de eventos, uma solução SIEM identifica padrões nesses dados que podem indicar a presença de uma possível ameaça. A aplicação da UEBA e da IA de segurança cibernética ao SIEM aumenta ainda mais esse recurso, permitindo que a ferramenta SIEM crie uma linha de base para cada usuário e sistema na rede de uma organização e sinalize qualquer desvio dessa linha de base como potencialmente suspeito. 

Monitoramento de incidentes

Uma plataforma SIEM não se limita a coletar passivamente dados de registros e eventos. Ela monitora ativamente cada ativo interno em tempo real. Isso não apenas proporciona às equipes de segurança uma visibilidade de rede muito melhor, mas também permite um monitoramento e um gerenciamento mais eficazes de incidentes e ameaças em desenvolvimento. 

Alertas de segurança

Quando uma solução SIEM detecta uma possível ameaça, ela gera uma notificação para informar a equipe de segurança da organização. De imediato, há pouca diferenciação entre os alertas em termos de gravidade e prioridade. A equipe de TI pode precisar aplicar regras adicionais para reduzir as chances de fadiga de notificação. 

Gerenciamento e relatórios de conformidade

O modo como o SIEM consolida e armazena dados de eventos o torna adequado para apoiar os esforços de conformidade de uma organização. A maioria das plataformas de SIEM é capaz de gerar relatórios de conformidade em tempo real para vários padrões, incluindo GDPR, HIPAA, SOX e PCI-DSS. Elas também podem ser pré-configuradas para detectar e alertar possíveis violações de conformidade e ameaças. 

SIEM vs. XDR

O XDR (Extended Detection and Response) tem muito em comum com o SIEM na superfície, pois ambos coletam, agregam e analisam dados de várias fontes. No entanto, o XDR é consideravelmente mais avançado do que o SIEM. Uma ferramenta SIEM não pode, por exemplo, orquestrar automaticamente uma resposta em tempo real a uma ameaça cibernética em vários endpoints e ambientes, nem pode fazer ajustes proativos nas defesas de rede para neutralizar as ameaças. 

Até mesmo as ferramentas SIEM mais avançadas existem principalmente como um meio de detecção e priorização, não de correção. 

O XDR tem um foco ligeiramente diferente do SIEM e não deve ser tratado como um substituto completo. Enquanto o SIEM se concentra no gerenciamento de logs e eventos, o XDR está mais preocupado com a segurança de endpoints e a inteligência contra ameaças. Os dois funcionam muito bem em conjunto, pois uma solução SIEM pode fornecer um feed adicional de inteligência contra ameaças do qual uma plataforma XDR pode se valer. 

SIEM vs. SOAR

Assim como o XDR, o SOAR tem um escopo consideravelmente mais amplo do que o SIEM. Ele extrai informações não apenas de fontes internas, mas também de ferramentas externas e de inteligência contra ameaças de terceiros. Ele também oferece priorização inteligente de alertas e caminhos de investigação predefinidos para o SOC de uma organização. Novamente, assim como no caso do XDR, as diferenças aqui são amplamente complementares. 

O SOAR não é, de forma alguma, superior ao SIEM, pois os dois têm finalidades diferentes. Uma ferramenta SIEM fornece alertas inteligentes sobre possíveis incidentes, enquanto uma plataforma SOAR pode priorizar e gerenciar ainda mais esses alertas. 

Por fim, uma abordagem completa do gerenciamento de incidentes e eventos de segurança cibernética incorporará SIEM, SOAR e XDR como partes de um todo coeso, e não como soluções opostas. 

 

CylanceGUARD para segurança cibernética 24x7x365

As empresas de pequeno e grande porte enfrentam um número crescente de dispositivos, cada um deles aumentando as superfícies de ataque. Ao mesmo tempo, a maioria das empresas enfrenta uma lacuna de habilidades de segurança cibernética e escassez de recursos. A contratação de pessoal de segurança cibernética é particularmente problemática para empresas de pequeno e médio porte.

Como um serviço de XDR gerenciado 24x7x365 centrado no ser humano e baseado em assinatura, CylanceGUARD® oferece o conhecimento e o suporte de que as empresas precisam. CylanceGUARD combina o conhecimento abrangente incorporado pelo BlackBerry Cybersecurity Services com a proteção de endpoints (EPP) baseada em IA por meio de CylancePROTECT®autenticação e análise contínuas por meio de CylancePERSONAe detecção e correção de ameaças no dispositivo por meio de CylanceOPTICS®. Em resumo, o site CylanceGUARD fornece aos negócios as pessoas e a tecnologia necessárias para proteger a empresa contra o cenário moderno de ameaças.

SAIBA MAIS

Recursos relacionados:

Ícone de recurso Prevenção contra perda de dados (DLP) Ícone de recurso Segurança de endpoint Ícone de recurso Plataformas de proteção de endpoints (EPP) Ícone de recurso Detecção e resposta de endpoint (EDR) Ícone de recurso Detecção e resposta estendidas (XDR) Ícone de recurso Gerenciamento de identidade e acesso (IAM) Ícone de recurso Detecção e resposta gerenciadas Ícone de recurso XDR gerenciado Ícone de recurso Estrutura MITRE ATT&CK Ícone de recurso Defesa contra ameaças móveis (MTD) Ícone de recurso Análise de comportamento de usuários e entidades (UEBA) Ícone de recurso Arquitetura Zero Trust Ícone de recurso Acesso à rede de confiança zero (ZTNA) Ícone de recurso Segurança Zero Trust Ícone de recurso Gerenciamento de eventos e informações de segurança (SIEM) Ícone de recurso Serviço de acesso seguro na borda (SASE)
Mais recursos