Notícias de dispositivos móveis, gadgets, aplicativos Android

Gerenciamento de eventos e informa√ß√Ķes de seguran√ßa (SIEM) ‚Äď uma explica√ß√£o detalhada

Os logs são buscados no SIEM de duas maneiras diferentes. Baseado em agente e não baseado em agente. Na abordagem baseada em agente, um agente de envio de log é instalado na máquina cliente da qual os logs são coletados.

Em seguida, esse agente √© configurado para encaminhar logs para a solu√ß√£o. No √ļltimo tipo, o sistema cliente envia logs por conta pr√≥pria usando um servi√ßo como Syslog ou Windows Servi√ßo de coletor de eventos, etc.

Existem tamb√©m aplica√ß√Ķes e dispositivos espec√≠ficos que podem ser integrados atrav√©s de uma s√©rie de procedimentos espec√≠ficos do fornecedor.

Bem, agora você sabe que os logs de diferentes dispositivos estão sendo encaminhados para o SIEM.

Veja um exemplo: uma varredura de porta é iniciada em uma máquina específica. Nesse caso, a máquina geraria muitos logs incomuns.

Analisando os logs, ficar√° claro que diversas falhas de conex√£o est√£o ocorrendo em diferentes portas em intervalos regulares.

Vendo as informa√ß√Ķes do pacote, se poss√≠vel, podemos detectar o Solicita√ß√Ķes SYN sendo enviado do mesmo IP para o mesmo IP, mas para portas diferentes em intervalos regulares.

Isso conclui que alguém iniciou uma varredura SYN em nosso ativo.

O SIEM automatiza esse processo e gera alertas. Solu√ß√Ķes diferentes fazem isso de maneiras diferentes, mas produzem os mesmos resultados.

O caminho para o sucesso do SIEM

O caminho para o sucesso do SIEM é mais ou menos assim:

  • Colete logs de fontes de seguran√ßa padr√£o.
  • Enrique√ßa os logs com dados complementares.
  • Intelig√™ncia Global sobre Amea√ßas (Listas Negras).
  • Recursos Humanos / Gerenciamento de Download da Internet.
  • Correlacionar – encontrar as proverbiais agulhas nos palheiros.
  • Investigue ‚Äď acompanhe e corrija.
  • O documento ‚Äď Procedimentos Operacionais Padr√£o, Acordos de N√≠vel de Servi√ßo, Trouble Tickets.
  • Incorporar ‚Äď Crie listas brancas, novos conte√ļdos.

Os 10 principais casos de uso para SIEM

Com o uso crescente de solu√ß√Ķes SIEM, as empresas est√£o interessadas em resolver uma s√©rie de casos de uso comercial e de seguran√ßa vistos durante suas opera√ß√Ķes di√°rias.

N√≥s recomendamos:  Calculadora de custos de mudan√ßa: uma tecnologia para prever custos de mudan√ßa

Nesta postagem, examinaremos os 10 principais casos de uso com uma visão geral de como você pode usar para detectar tal comportamento em sua infraestrutura

A seguir est√£o os 10 principais casos de uso:

1. Atividades de autenticação

Tentativas de autenticação anormais, tentativas de autenticação fora do horário comercial, etc., usando dados de WindowsUnix e qualquer outro aplicativo de autenticação.

2. Contas compartilhadas

M√ļltiplas fontes(internas/externas) fazendo solicita√ß√Ķes de sess√£o para uma conta de usu√°rio espec√≠fica durante um determinado per√≠odo, usando dados de login de fontes como WindowsUnix etc

3. Atividades da sess√£o

Dura√ß√£o da sess√£o, sess√Ķes inativas, etc., usando dados relacionados √† sess√£o de login especificamente de Windows servidor.

4. Detalhes das conex√Ķes

As conex√Ķes podem ser genu√≠nas ou falsas. O comportamento suspeito pode incluir tentativas de conex√£o em portas fechadas, conex√Ķes internas bloqueadas, conex√£o feita a destinos incorretos, etc., usando dados de firewalls, dispositivos de rede ou dados de fluxo.

Fontes externas podem ser ainda mais enriquecidas para descobrir o nome de domínio, o país e os detalhes geográficos.

5. Comportamento Administrativo Anormal

Monitoramento de contas inativas, contas com senhas inalteradas, atividades anormais de gerenciamento de contas, etc., usando dados de atividades relacionadas ao gerenciamento de contas AD.

6. Roubo de informa√ß√Ķes

Tentativas de exfiltra√ß√£o de dados, vazamento de informa√ß√Ķes atrav√©s de e-mails, etc., usando dados de servidores de e-mail, aplicativos de compartilhamento de arquivos, etc.

7. Verificação e correlação de vulnerabilidades

Identifica√ß√£o e correla√ß√£o de vulnerabilidades de seguran√ßa detectadas por aplica√ß√Ķes como Qualys contra outros eventos suspeitos.

8. Análise Estatística

A an√°lise estat√≠stica pode ser feita para estudar a natureza dos dados. Fun√ß√Ķes como m√©dia, mediana, quantil, quartil, etc. podem ser usadas para esse prop√≥sito.

Dados num√©ricos de todos os tipos de fontes podem ser usados ‚Äč‚Äčpara monitorar rela√ß√Ķes como propor√ß√£o de uso de largura de banda de entrada e sa√≠da, uso de dados por aplicativo, compara√ß√£o de tempo de resposta, etc.

N√≥s recomendamos:  Principal 5 Plug-ins de seguran√ßa do WordPress em 2023

9. Detec√ß√£o de intrus√Ķes e infec√ß√Ķes

Isso pode ser feito usando dados de IDS/IPS, antivírus, aplicativos antimalware, etc.

10. Atividades de mudança de sistema

Isso pode ser feito usando dados para altera√ß√Ķes nas configura√ß√Ķes, altera√ß√Ķes de configura√ß√£o de auditoria, altera√ß√Ķes de pol√≠ticas, viola√ß√Ķes de pol√≠ticas, etc.

Controles Críticos e SIEM

Controle Crítico 1: Inventário de dispositivos autorizados e não autorizados

O SIEM pode correlacionar a atividade do usu√°rio com os direitos e fun√ß√Ķes do usu√°rio para detectar viola√ß√Ķes de pelo menos
imposição de privilégios, que é exigida por este controle.

Controle Crítico 2: Inventário de Software Autorizado e Não Autorizado

SIEM deve ser usado como banco de dados de invent√°rio de software autorizado
produtos para correlação com atividades de rede e aplicativos.

Controle Cr√≠tico 3: Conjura√ß√Ķes seguras para hardware e software em laptops, esta√ß√Ķes de trabalho e servidores

Vulnerabilidades conhecidas ainda s√£o um caminho importante para explora√ß√Ķes bem-sucedidas. Se um automatizado
ferramenta de verificação de dispositivo descobre um sistema de rede mal configurado durante um Common
verificação de enumeração de configuração (CCE), essa configuração incorreta deve ser relatada ao
SIEM como fonte central para esses alertas.

Isso ajuda na solução de incidentes, bem como na melhoria da postura geral de segurança.

Controle Cr√≠tico 4: Configura√ß√Ķes seguras para dispositivos de rede, como firewalls, roteadores e switches

Qualquer configuração incorreta nos dispositivos de rede também deverá ser reportada ao SIEM para análise consolidada

Controle Crítico 5: Defesa de Limite

Viola√ß√Ķes de regras de rede, como descobertas de CCE, tamb√©m devem ser relatadas a uma central
fonte (um SIEM) para correlação com dados de inventário autorizados armazenados no SIEM
solução

Controle Crítico 6: Manutenção, Monitoramento e Análise de Logs de Auditoria

Ao controle 6 é basicamente um controle sobre SIEMs, que são um dos principais meios de coleta
e centralização de dados de registro críticos; na verdade, existe até um subcontrole para análise que
estuda o SIEM especificamente. SIEMs s√£o o principal mecanismo de an√°lise que pode analisar eventos de log
à medida que ocorrem.

N√≥s recomendamos:  A Samsung corrige uma explora√ß√£o cr√≠tica smartphones teve desde 2014

Controle Crítico 7: Segurança de software de aplicação

Assim como os resultados da verificação CCE, as vulnerabilidades descobertas em aplicativos de software devem
também serão relatados a uma fonte central onde essas vulnerabilidades podem ser correlacionadas com
outros eventos relativos a um sistema específico.

SIEMs s√£o um bom lugar para armazenar essas verifica√ß√Ķes
resultados e correlacionar as informa√ß√Ķes com os dados da rede, capturados atrav√©s de logs, para
determinar se as vulnerabilidades est√£o sendo exploradas em tempo real.

Controle Crítico 8: Uso controlado de privilégios administrativos

Quando os princípios deste controle não são atendidos (como um administrador executando um
navegador da web ou uso desnecess√°rio de contas de administrador), o SIEM pode correlacionar o acesso
logs para detectar a violação e gerar um alerta.

Controle Crítico 9: Acesso controlado com base na necessidade de saber

O SIEM pode correlacionar a atividade do usu√°rio com os direitos e fun√ß√Ķes do usu√°rio para detectar viola√ß√Ķes de pelo menos
imposição de privilégios, que é exigida por este controle.

Controle Crítico 10: Controle Crítico Contínuo

O SIEM pode correlacionar o contexto da vulnerabilidade com a atividade real do sistema para determinar
se as vulnerabilidades est√£o sendo exploradas.