O QUE DEVE SABER ANTES DA AQUISIÇÃO DO SIEM
04/04/2021

O SIEM (Security Information and Event Mangement) é uma tecnologia utilizada para apoiar na deteção de Incidentes de Segurança e/ou como ferramenta para estar em conformidade com regulamentação e compliance que a organização tenha de respeitar. É no SIEM que se vai concentrar a informação proveniente de múltiplas fontes (firewall, EPP, EDR, IDS/IPS, aplicações, …) que vai ser monitorizada, registada, correlacionada e analisada em tempo real.

Utilizar um SIEM aporta benefícios às organizações, como por exemplo, a integração de informação proveniente de várias fontes, o apoio à monitorização centralizada, a análise de informação em contexto, a adaptação dos processos de controlo à realidade da organização, a disponibilização de mecanismos de alerta e a produção de relatórios de conformidade. Usualmente as ferramentas de SIEM disponibilizam vários tipos de recursos, múltiplas possibilidades de configuração suportando distintos tipos de arquiteturas, terão, uns mais que outros, capacidade de customização e darão resposta a vários casos de uso.

De uma forma geral, o SIEM deverá entre outras, ter as seguintes características:

  • Capacidade de integração: Como elemento agregador de informação de várias fontes, a capacidade de integração do SIEM é essencial. O SIEM deve, por um lado, permitir integrar informação proveniente de vários tipos de ferramentas (firewall, IDS/IPS, EPP, EDR, Diretório de Utilizadores, Scanner de vulnerabilidades, Feeds de informação, …) de uma gama alargada de fabricantes e consumindo vários formatos de dados, por outro lado, deve ter a capacidade de integrar com ferramentas de notificação (traps SNMP, SMS, email, …) e registo e acompanhamento de incidentes de segurança (Sistemas de Ticketing, Service-Desk, …).

  • Monitorização: Capacidade de monitorização da segurança dos serviços ativos e de interrupções indesejadas do serviço ou serviços que estejam em execução.

  • Capacidade de relacionar eventos: É imprescindível que o SIEM tenha a capacidade de potenciar a análise rápida da informação que coleta e de deteção de padrões anómalos. No mínimo deverá ter a capacidade de fazer o correlacionamento de informação, disponibilizar funcionalidade analítica e incorporar capacidades de Machine Learning,

  • Segregação de funções: Para ser eficaz na resposta às necessidades de diferentes equipas e funções, o SIEM deve ter a capacidade de gerir permissões de acessos à informação que apresenta ou produz por grupo/função/ambiente a monitorizar. Os acessos às funcionalidades e aos domínios de monitorização deverão ser geridos consoante a necessidade de conhecimento de cada grupo.

  • Produção de Relatórios: É importante a capacidade de produzir relatórios técnicos, relatórios para a gestão (por categorias, ativos, malware, aplicações,…) e automatizar a produção e envio desses relatórios.

  • Relatórios de Conformidade: A capacidade de permitir produzir relatórios sobre as normas que interessem à organização (Standards ISO27001:2013, RGPD, … ) e respetiva customização .

  • Inviolabilidade dos Logs: É imprescindível que o SIEM garanta a integridade dos Logs que armazena, seja por questões de conformidade e auditora interna ou externa, seja pela eventual necessidade de realização de ações forenses.

Default
Default
Como podemos ajudar?
Fale Connosco