O que é SIEM? Guia para iniciantes

O SIEM é agora uma indústria de US $ 2 bilhões, mas apenas 21,9% dessas empresas estão obtendo valor de seu SIEM, de acordo com uma pesquisa recente.

As ferramentas do SIEM são importantes parte do ecossistema de segurança de dados: eles agregam dados de vários sistemas e analisam esses dados para detectar um comportamento anormal ou ataques cibernéticos em potencial. As ferramentas SIEM fornecem um local central para coletar eventos e alertas – mas podem ser caras, exigem muitos recursos e os clientes relatam que muitas vezes é difícil resolver problemas com dados SIEM.

Guia: 5 maneiras de SIEM está falhando (e o que fazer a respeito)

“Ver o contexto de quando e como os eventos de segurança aceleraram nossas investigações por um fator de 3.”

O que é SIEM?

Informações de segurança e gerenciamento de eventos (SIEM) é uma solução de software que agrega e analisa atividades de muitos recursos diferentes em toda a sua infraestrutura de TI.

O SIEM coleta dados de segurança de dispositivos de rede, servidores, controladores de domínio e muito mais. O SIEM armazena, normaliza, agrega e aplica análises a esses dados para descobrir tendências, detectar ameaças e permitir que as organizações investiguem quaisquer alertas.

Como funciona o SIEM?

O SIEM oferece dois recursos principais para uma equipe de resposta a incidentes:

    • Relatórios e perícias sobre incidentes de segurança
    • Alertas baseados em análises que correspondem a um determinado conjunto de regras, indicando um problema de segurança

Em seu core, SIEM é um agregador de dados, pesquisa e sistema de relatórios. O SIEM reúne imensas quantidades de dados de todo o seu ambiente de rede, consolida e torna esses dados acessíveis para humanos. Com os dados categorizados e dispostos ao seu alcance, você pode pesquisar violações de segurança de dados com tantos detalhes quanto necessário.

Recursos de gerenciamento de informações e eventos de segurança

O Gartner identifica três recursos essenciais para SIEM (detecção de ameaças, investigação e tempo de resposta) – existem outros recursos e funcionalidades que você normalmente vê no mercado de SIEM, incluindo:

    • Monitoramento de segurança básico
    • Detecção avançada de ameaças
    • Forense & resposta a incidentes
    • Coleta de registros
    • Normalização
    • Notificações e alertas
    • Detecção de incidente de segurança
    • Fluxo de trabalho de resposta a ameaças

Principais ferramentas de SIEM

Estes são alguns dos principais atores no espaço SIEM:

Splunk

Splunk é uma solução SIEM local completa que o Gartner classifica como líder no mercado. O Splunk oferece suporte ao monitoramento de segurança e pode fornecer recursos avançados de detecção de ameaças.

O Varonis se integra ao Splunk por meio do Varonis DatAlert App para Splunk.

IBM QRadar

QRadar é outro SIEM popular que você pode implementar como um dispositivo de hardware, um Dispositivo virtual ou um dispositivo de software, dependendo das necessidades e capacidade de sua organização.

O QRadar pode se integrar ao Varonis para adicionar recursos de Detecção Avançada de Ameaças. Procure o aplicativo Varonis para QRadar

LogRhythm

LogRhythm é um bom SIEM para organizações menores. Você pode integrar LogRhythm com Varonis para obter recursos de detecção e resposta a ameaças.

SIEM na empresa

Alguns clientes descobriram que precisam manter duas soluções SIEM separadas para obter o máximo valor para cada finalidade, uma vez que o SIEM pode ser incrivelmente barulhento e consumir muitos recursos: eles geralmente preferem um para segurança de dados e outro para conformidade.

Além do caso de uso principal do SIEM para registro e gerenciamento de registros, as empresas usam seu SIEM para outros finalidades. Um caso de uso alternativo é ajudar a demonstrar conformidade para regulamentações como HIPAA, PCI, SOX e GDPR.

As ferramentas SIEM também agregam dados que você pode usar para projetos de gerenciamento de capacidade. Você pode acompanhar o crescimento da largura de banda e dos dados ao longo do tempo para planejar o crescimento e fins de orçamento. No mundo do planejamento de capacidade, os dados são essenciais e compreender o uso atual e as tendências ao longo do tempo permite que você gerencie o crescimento e evite grandes despesas de capital como medida reacionária versus prevenção.

Limitações dos aplicativos SIEM como um ecossistema completo de segurança de dados

Os aplicativos SIEM fornecem informações contextuais limitadas sobre seus eventos nativos, e os SIEMs são conhecidos por seu ponto cego em dados não estruturados e e-mails.Por exemplo, você pode ver um aumento na atividade de rede de um endereço IP, mas não do usuário que criou o tráfego ou cujos arquivos foram acessados.

Nesse caso, o contexto pode ser tudo.

O que parece uma transferência significativa de dados pode ser um comportamento totalmente benigno e garantido ou pode ser um roubo de petabytes de dados confidenciais e críticos. A falta de contexto nos alertas de segurança leva a um paradigma do “menino que lobo gritou”: eventualmente, sua segurança ficará insensível aos alarmes disparando toda vez que um evento for disparado.

Os aplicativos SIEM são incapazes de classificam os dados como confidenciais ou não confidenciais e, portanto, não conseguem distinguir entre atividades de arquivos sancionadas e atividades suspeitas que podem ser prejudiciais aos dados do cliente, propriedade intelectual ou segurança da empresa.

Em última análise, os aplicativos SIEM são apenas tão capazes quanto os dados que recebem. Sem contexto adicional sobre esses dados, a TI geralmente fica perseguindo falsos alarmes ou problemas insignificantes. O contexto é fundamental no mundo da segurança de dados para saber quais batalhas travar.

O maior problema que ouvimos dos clientes quando eles usam o SIEM é que é extremamente difícil diagnosticar e pesquisar eventos de segurança. O volume de dados de baixo nível e o alto número de alertas causam um efeito de agulha em um palheiro: os usuários recebem um alerta, mas muitas vezes não têm clareza e contexto para agir imediatamente com relação a esse alerta.

How Varonis Complementa o SIEM

O contexto que Varonis traz para o SIEM pode ser a diferença entre uma caça ao snipe ou a prevenção de uma grande violação de segurança de dados.

E é aí que a Varonis entra. Varonis fornece contexto adicional aos dados que um SIEM coleta: tornando mais fácil obter mais valor de um SIEM, criando um contexto aprofundado, percepções e adicionando inteligência contra ameaças em investigações de segurança e defesas.

Varonis captura dados de eventos de arquivo de vários armazenamentos de dados – no local e na nuvem – para fornecer quem, o quê, quando e onde cada arquivo acessado na rede . Com o monitoramento Varonis Edge, a Varonis também coletará DNS, VPN e atividade de proxy da web. Você será capaz de correlacionar a atividade de rede com a atividade de armazenamento de dados para pintar um quadro completo de um ataque, desde a infiltração, passando pelo acesso ao arquivo até a exfiltração.

A Varonis classifica arquivos não estruturados com base em centenas de possíveis correspondências de padrão, incluindo PII, números de identificação do governo, números de cartão de crédito, endereços e muito mais. Essa classificação pode ser estendida para pesquisar propriedade intelectual específica da empresa, descobrir informações vulneráveis e confidenciais e ajudar a atender à conformidade de dados regulamentados. A Varonis lê os arquivos no local sem nenhum impacto para os usuários finais.

A Varonis também realiza análises de comportamento do usuário (UBA) para fornecer alertas significativos com base nos padrões de comportamento aprendidos dos usuários, junto com análises de dados avançadas contra modelos de ameaças que inspecionam padrões para ameaças internas (como exfiltração, movimento lateral, elevação de conta) e ameaças externas (como ransomware).

Destaques da integração

Varonis se integra com aplicativos SIEM para fornecer análises de segurança com profundidade contexto de dados para que as organizações possam ter confiança em sua estratégia de segurança de dados. Os benefícios incluem:

    • Análise pronta para uso
    • Painéis e alertas Varonis integrados para investigação simplificada
    • Páginas de investigação específicas de alerta
    • Informações críticas destacadas à primeira vista, com insights acionáveis e contexto rico
    • Integração em seu fluxo de trabalho SIEM

Como investigar um ataque com SIEM e Varonis

Esses dados contextuais que a Varonis traz fornecem às equipes de segurança análises e alertas significativos sobre a infraestrutura, sem sobrecarga adicional ou ruído de sinal para o SIEM. As equipes de SOC podem investigar mais rapidamente, aproveitando o SIEM com Varonis e obter uma visão dos ativos mais críticos que precisam proteger: dados não estruturados e e-mail. Com a visibilidade adicional fornecida pela Varonis, você obtém uma visão geral rápida do que está acontecendo em seus armazenamentos de dados principais – tanto no local quanto na nuvem. Você pode facilmente investigar usuários, ameaças e dispositivos – e até mesmo automatizar respostas.

(Clique para ampliar)

Ao clicar no evento de alerta Varonis em seu SIEM, você será levado ao Painel de alerta Varonis para o alerta que está investigando. A partir daqui, você pode ver que este alerta está relacionado a quatro outros alertas. Qualquer um deles é problemático, mas como todos estão conectados, é uma imagem muito mais clara e bem definida de um ataque cibernético.

(Clique para ampliar)

Este alerta nos diz que esta conta BackupService carregou dados para um site de e-mail externo.

(Clique para ampliar)

Este alerta nos diz que a conta BackupService nunca acessou a internet antes, tornando o fato de que os dados de upload da conta para o e-mail são muito mais suspeitos.

Isso é apenas o começo da investigação de alertas de segurança cibernética com Varonis e seu SIEM. A Varonis pode iniciar um script para desabilitar a conta do usuário e encerrar o ataque assim que for detectado – nesse caso, o hacker pode não ter conseguido acessar os arquivos da folha de pagamento!

Com No contexto de que dispõe, pode responder rapidamente – e gerir – os alertas que recebe no seu SIEM.

Os analistas de segurança gastam incontáveis horas para obter alertas significativos do SIEM: casos de uso de ajuste fino, construção de regras e adição de fontes de dados – a Varonis oferece uma vantagem inicial com modelos analíticos prontos para uso, painéis intuitivos e alertas inteligentes.

OK, estou pronto para começar!

Se você já estiver usando um SIEM, é simples adicionar o Varonis e aproveitar mais seu investimento SIEM. Se você deseja iniciar seu plano de segurança de dados, comece com Varonis e, em seguida, adicione seu SIEM.

Depois de instalar o Varonis, você pode adicionar seu SIEM para agregação de dados e monitoramento e alertas adicionais . A Varonis oferece mais cobertura de segurança de dados inicial e adicionar um SIEM tornará a Varonis e seu SIEM mais capazes de correlacionar e armazenar dados para análise e auditoria.

Confira um seminário on-line de ataque cibernético ao vivo para ver como a Varonis traz contexto aos seus dados SIEM.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *