SIEM Rogério Reis
Agenda A Problemática da Gestão de Logs A Solução: SIEM SIEM: Uma plataforma para operações de segurança SIEM: Uma plataforma para operações de conformidade Uma Visão Geral da Tecnologia Vantagens
A Problemática da Gestão de Logs Detecção de códigos mal-intencionados Detecção de spyware Aplicação dos controles de acesso Gerenciamento de usuários com privilégios Monitoração em tempo real Solução de problemas Controle de configuração Aplicação de bloqueios Monitoração de usuário Detecção de serviço não autorizado Bloqueio de IP Redução de falsos positivos Registros IDS/IDP switch Como coletar analisar e proteger gerenciar todos os os dados necessários para transformar verificação de para VA criar as informações uma plataforma roteadores em para Registros Logins de VPN domínio as conhecimento operações de conformidade e segurança do Windows e inteligência acionáveis Windows firewall acesso sem fio Registros Oracle Financial atividade de servidores da Web Cache da Web e registros de proxy gerenciamento de conteúdo Monitoração de SLA (Service-Level Agreement, contrato de nível de serviço) SO Linux, Unix, Windows mainframe Registros DHCP servidor cliente e de arquivos acesso a arquivos San acesso e controle de VLAN banco de dados
Informações Redundantes APLICATIVOS COMERCIAIS APLICATIVOS INTERNOS SISTEMAS OPERACIONAIS INFORMAÇÕES DE SEGURANÇA INFORMAÇÕES DE REDE SISTEMAS DE BANCO DE DADOS ARMAZENAMENTO
A Solução: SIEM Engenharia servid. Oper. negócios Auditoria de conformidade Ger. de riscos Oper. segurança Oper. computadores Oper. rede Aplicativos e banco de dados Linha de base Relatório Alerta/correlação Ident. ativos Operações de conformidade Operações de segurança Análise jurídica Gerenc.registros Controle de acesso Controle de configurações Software mal-intencionado Aplicação de políticas Monitoração e gerenciamento de usuários Segurança ambiental e de transmissão Aplicação de controle de acesso Monitoração de conformidade de SLA Redução de falsos positivos Monitoração em tempo real Detecção de serviço de rede não autorizado Mais Gerenc. incident. Todos os dados Gerenciamento de registros Qualquer dispositivo IP da empresa Universal Device Support (UDS) Sem filtros, normalização ou redução de dados Eventos de segurança e informações operacionais Sem agentes para operações de conformidade e segurança
SIEM: Uma plataforma para operações de segurança Ambiente de segurança Operações de perímetro da rede Operações de ecommerce Sistemas e aplicativos internos Aplicação de controle de acesso Objetivo de segurança Monitoração de usuários com privilégios Conformidade às políticas corporativas Recursos do produto Monitoração em tempo real Solução de problemas de eventos de rede e de segurança O que está acontecendo? Gerenciamento de registros Redução de falsos positivos Detecção de ameaças correlacionadas Aplicação de watchlists Detecção de serviço de rede não autorizado Monitoração de conformidade de SLA Confirmar alertas do IDS Habilitar escalonamento de alertas essenciais Monitorar áreas de rede remotas Consolidar alertas do IDS distribuídos Exposição a ameaças externas Investigações internas Desligamento de serviços mal-intencionados Vazamento de propriedade intelectual Comprovante de entrega Monitorar em comparação com as linhas de base Identificação de ativos Linha de base Relatórios e auditoria Alertar/correlacionar Análise jurídica Gerenciamento de incidentes = Mais sérios = Altamente desejáveis = Desejáveis
SIEM: Uma plataforma para operações de conformidade COBIT NIST ISO COSO RSA envision ITIL
SIEM: Uma plataforma para operações de conformidade Ambiente de conformidade HIPAA GLBA BASEL II FISMA PCI Sarbanes-Oxley Objetivo da conformidade Aplicação de controle de acesso Controle de configurações Detecção de códigos malmal-intencionados Acesso de usuários não autorizados Aplicação de bloqueios nos controles de alterações Monitoração de software não aprovada Monitoração de anomalias em comparação com as linhas de base Relatórios de ataques Gerenciamento de registros Identificação de ativos Linha de base Relatórios e auditoria Alertar/correlacionar Aplicação de políticas de contas Análise jurídica Aplicação de Verificar atividade dos usuários em comparação com a política políticas Evitar vazamento de informações Gerenciamento de incidentes Segurança ambiental e de transmissão = Altamente desejável em ambiente de conformidade Monitoração de usuários com privilégios Monitorar privilégios de usuários Monitoração e gerenciamento de usuários = Essencial para este ambiente de conformidade Recursos do produto Proteger transmissão de dados Segurança proativa da rede
Transformação de Dados em Inteligência Painéis de controle Mais de 800 relatórios para operações de conformidade normativae de segurança
Amplos Requisitos de Retenção de Dados Normas Sarbanes-Oxley PCI Requisitos de retenção de dados 5 anos Política corporativa Penalidades Multas de até US$ 5 milhões Pena de prisão de até 10 anos Multas Perda de privilégios de cartões de crédito GLBA 6 anos Multas Basel II 7 anos Multas HIPAA 6 anos 2 anos após morte de paciente US$ 25.000 NERC 3 anos A ser definido FISMA 3 anos Multas NISPOM 6 meses a 1 ano Multas
Uma Visão Geral da Tecnologia Informações de eventos e operações de segurança. Sem filtros de dados A arquitetura paralela garante o desempenho de alertas Pacote de dispositivos fácil de implantar Sem agentes Mecanismo XML UDS flexível Ambientes de trabalho personalizáveis Relatórios de conformidade e segurança totalmente personalizáveis
Uma Visão Geral da Tecnologia Limitações do banco de dados relacional Não foi projetado para dados não estruturados (registro) Exige processamento (filtro, normalização, análise) Análise paralela Consumo imprevisível: o gargalo na coleta causa impacto no uso de dados (p. ex. alertas) Perda de dados: os eventos são perdidos devido à coleta seletiva ou a gargalos no sistema Banco de dados relacional Explosão de dados: são adicionadas informações da estrutura de índices e dados relacionados (pode resultar em dados 10 vezes maiores) Autenticado Compactado Criptografado
Vantagens
Vantagens
Vantagens
Dúvidas? Rogério Reis