O que é um SIEM?

Um SIEM (Security Information and Event Management) é uma solução de segurança e auditoria composto por componentes de monitoramento e analise de eventos.

O monitoramento e a análise em tempo real dos logs de eventos podem fornecer pistas para os problemas existentes e também futuros bem antes de eles ocorrerem. Existe ainda as necessidades regulatórias (HIPAA, PCI DSS, SOX, GDPR e muitas outras,) e que exigem que os Logs de Eventos sejam cuidadosamente monitorados e auditados.

O maior desafio na coleta de dados no contexto do SIEM é superar a variedade de formatos de log. Um sistema SIEM, por sua própria natureza, estará obtendo dados de um grande número de camadas – servidores (Windows, Linux, Unix etc), firewalls, roteadores de rede, bancos de dados e muitos outros sistemas, cada um registrando em um formato diferente.

Quando estamos tratando com logs em diversos sistemas são gerados bilhões de eventos. E para coletar e analisar a partir de uma variedade de fontes, tanto no local quanto na nuvem, fica difícil encontrar dados relevantes e entendê-los. E, no caso de uma violação de segurança, interna ou externa, a capacidade de localizar onde a violação se originou e o que foi acessado pode fazer uma grande diferença.

Um SIEM deve:

  • Coletar e armazenar volumes massivos de dados 
  • Processar e normalizar logs de diversas fontes;
  • Correlacionar eventos de diferentes fontes de dados
  • Permitir visualizar dados e eventos
  • Suporta mecanismos para conter e mitigar automaticamente eventos de segurança.
  • Proteger os dados do registro de eventos contra adulteração ou destruição.

Eu trabalho com uma solução chamada Intrust e fica fácil ter uma ideia conceitual através do diagrama a seguir, 

https://www.quest.com/br-pt/products/intrust/ 

Como este site é vendor neutral e tem como função principal o compartilhamento de informação deixo também uma lista com  10 principais SIEMs do mercado

  1. Intrust (Quest)  
  2. Splunk 
  3. IBM QRadar
  4. Micro Focus ArcSight
  5. LogRhythm
  6. EventTracker
  7. TIBCO LogLogic
  8. Tripwire Log center
  9. Netwrix Event Log Manager
  10. SolarWinds Event Log Consolidator

Sobre Daniel Donda 281 Artigos
Olá, meu nome é Daniel Donda e sou Strategic Systems Consultant para soluções de segurança e compliance. Saiba mais

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*