A infraestrutura de TI corporativa moderna consiste em muitos sistemas e componentes. E rastreá-los individualmente pode ser bastante difícil - quanto maior a empresa, mais onerosas são essas tarefas. Mas existem ferramentas que reúnem em um só local relatórios sobre o funcionamento de toda a infraestrutura corporativa - sistemas SIEM (Segurança da informação e gerenciamento de eventos). Leia sobre o melhor desses produtos de acordo com os especialistas do Gartner em nossa análise e aprenda sobre os principais recursos em nossa tabela de comparação .
Em suma, a tecnologia SIEM oferece aos administradores uma visão geral do que está acontecendo na rede. Esses sistemas fornecem análises em tempo real de eventos de segurança, bem como da atividade de dispositivos e usuários, o que permite responder a eles antes que danos significativos sejam causados.
Os programas SIEM coletam informações de servidores, controladores de domínio, firewalls e muitos outros dispositivos de rede e as fornecem na forma de relatórios fáceis de usar. Esses dados não estão necessariamente relacionados à segurança. Com a ajuda deles, por exemplo, você pode entender como funciona a infraestrutura de rede e desenvolver um plano para sua otimização. Mas o principal, é claro, é a detecção de lacunas em potencial, bem como a localização e eliminação das ameaças existentes. Esses dados são fornecidos por meio da coleta e agregação de dados de log do dispositivo de rede.
Após a coleta de informações (este procedimento ocorre automaticamente em intervalos especificados), os eventos são identificados e classificados. Então (novamente, de acordo com as configurações especificadas) alertas são enviados de que certas ações de equipamentos, programas ou usuários podem ser potenciais problemas de segurança.
Que oportunidades estão surgindo?
O SIEM ajuda a resolver uma variedade de problemas. Entre eles: detecção oportuna de ataques direcionados e violações não intencionais da segurança da informação por usuários, avaliação da segurança de sistemas e recursos críticos, realização de investigações de incidentes e muito mais.
Ao mesmo tempo, as plataformas SIEM têm várias limitações. Eles, por exemplo, não sabem classificar os dados, muitas vezes não funcionam bem com e-mail, têm pontos cegos em relação aos próprios eventos. E, é claro, eles não podem cobrir completamente as questões de segurança da informação na empresa. Mas, ao mesmo tempo, eles são uma parte importante do sistema de defesa da empresa, embora não sejam essenciais. Além disso, o desenvolvimento das plataformas SIEM não pára. Por exemplo, alguns produtos modernos possuem funções analíticas, ou seja, não apenas emitem relatórios e indicam possíveis problemas, mas também sabem analisar os próprios eventos e tomar decisões sobre como informar sobre determinados eventos.
Em qualquer caso, ao escolher um produto específico, deve-se focar em vários parâmetros, entre os quais destacaremos a coleta centralizada, processamento e armazenamento de informações, notificação de incidentes e análise de dados (correlação), bem como a largura de cobertura da rede corporativa. E, claro, se possível, você deve executar uma versão de teste / demonstração antes de comprar e ver como ela se adapta à empresa.
IBM QRadar Security Intelligence
A plataforma SIEM da gigante da tecnologia IBM é uma das mais avançadas do mercado: mesmo no quadrante de líderes do Gartner, ela se destaca da concorrência e está lá há 10 anos consecutivos. O produto consiste em vários sistemas integrados que, juntos, fornecem cobertura máxima de eventos que ocorrem na rede, e muitas funções funcionam imediatamente. A ferramenta é capaz de coletar dados de uma variedade de fontes, como sistemas operacionais, dispositivos de segurança, bancos de dados, aplicativos e muitos outros.
O QRadar Security Intelligence pode classificar eventos por prioridade e destacar aqueles que representam a maior ameaça à segurança. Isso se deve às funções de analisar o comportamento anômalo de objetos (usuários, equipamentos, serviços e processos na rede corporativa). Isso inclui determinar ações relacionadas ao acesso a endereços IP suspeitos ou solicitações deles. Relatórios detalhados são fornecidos para todas as atividades suspeitas, o que, por exemplo, torna possível detectar atividades suspeitas fora do horário de trabalho. Essa abordagem, combinada com recursos de monitoramento de usuário e visibilidade da rede em nível de aplicativo, pode ajudar a combater ameaças internas. Além disso, em ataques cibernéticos convencionais, as informações chegam muito rapidamente e permitem que sejam prevenidos antescomo eles vão atingir seu objetivo e causar danos significativos.
Um dos principais recursos do IBM QRadar Security Intelligence é a detecção e priorização baseada em risco usando análise avançada e correlação entre ativos, usuários, atividade de rede, vulnerabilidades existentes, análise de ameaças e muito mais. O IBM Qradar pode encadear eventos para criar há um processo separado para cada incidente.
Devido ao fato de que as informações são coletadas e exibidas na tela em um só lugar, o administrador pode ver todas as atividades suspeitas relacionadas que foram detectadas pelo sistema. E novos eventos relacionados são adicionados a uma única cadeia, para que os analistas não tenham que alternar entre vários alertas. E para investigações mais profundas, a ferramenta especial IBM QRadar Incident Forensics pode restaurar todos os pacotes de rede associados ao incidente e recriar as ações do invasor passo a passo.
Splunk Enterprise Security
Uma das principais plataformas do setor, que se destaca pela ampla gama de fontes de informação com as quais trabalha. Splunk Enterprise Security é capaz de coletar logs de eventos de componentes de rede tradicionais (servidores, dispositivos de segurança, gateways, bancos de dados, etc.), dispositivos móveis (smartphones, laptops, tablets), serviços da web e fontes distribuídas. Informações coletadas: dados sobre ações do usuário, logs, resultados de diagnóstico, etc. Isso permite uma pesquisa e análise conveniente no modo automático e manual. A solução possui uma variedade de notificações personalizáveis que, com base nas informações coletadas, alertam sobre ameaças existentes e relatam de forma proativa os problemas potenciais.
O produto é composto por vários módulos que são responsáveis por conduzir investigações, diagramas lógicos dos recursos protegidos e integração com diversos serviços externos. Esta abordagem permite realizar uma análise detalhada sobre uma variedade de parâmetros e estabelecer uma relação entre eventos que, à primeira vista, não se correlacionam de forma alguma. O Splunk Enterprise Security permite que você correlacione dados por hora, local, solicitações geradas, conexões a vários sistemas e outros parâmetros.
A ferramenta também sabe como trabalhar com grandes conjuntos de dados e é uma plataforma de Big Data completa. Grandes quantidades de dados podem ser processados em tempo real e no modo de pesquisa de histórico e, como mencionado acima, um grande número de fontes de dados é suportado. O Splunk Enterprise Security pode indexar centenas de TB de dados por dia, portanto, pode ser aplicado até mesmo a redes corporativas muito grandes. Uma ferramenta dedicada MapReduce permite dimensionar rapidamente o sistema horizontalmente e distribuir uniformemente as cargas, de modo que o desempenho do sistema esteja sempre em um nível aceitável. Ao mesmo tempo, as configurações de clustering e recuperação de desastres estão disponíveis para os usuários.
McAfee Enterprise Security Manager
A solução da McAfee é fornecida como dispositivos físicos e virtuais, bem como software. É composto por vários módulos que podem ser usados juntos ou separadamente. O Enterprise Security Manager fornece monitoramento contínuo da infraestrutura de TI corporativa, coleta informações sobre ameaças e riscos, permite priorizar as ameaças e conduzir investigações rapidamente. Para todas as informações de entrada, a solução calcula um nível de atividade de linha de base e gera notificações antecipadas que serão enviadas ao administrador se o escopo dessa atividade for violado. A ferramenta também sabe trabalhar com contexto, o que amplia significativamente as capacidades de análise e detecção de ameaças, além de reduzir o número de falsos sinais.
O McAfee ESM se integra bem a produtos de terceiros sem usar uma API, tornando-o compatível com muitas outras soluções de segurança populares. Ele também oferece suporte para a plataforma McAfee Global Threat Intelligence, que estende a funcionalidade SIEM tradicional. Graças a ele, o ESM recebe informações constantemente atualizadas sobre ameaças de todo o mundo. Na prática, isso possibilita, por exemplo, detectar eventos relacionados a endereços IP suspeitos.
Para melhorar o desempenho do sistema, o desenvolvedor oferece a seus clientes um conjunto de ferramentas McAfee Connect. Essas ferramentas contêm configurações prontas para usar para ajudá-lo a lidar com casos de uso de SIEM complexos. Por exemplo, o User Behavior Analysis Toolkit permite que você encontre melhor e mais rápido ameaças ocultas, torna as operações de segurança mais precisas e reduz drasticamente os tempos de investigação de incidentes. Um pacote para Windows permite monitorar os serviços deste sistema operacional para avaliar seu uso adequado e detectar ameaças. Existem mais de 50 pacotes disponíveis no total para diferentes cenários, produtos e conformidade com padrões.
AlienVault Unified Security Platform
A empresa AlienVault recentemente fundiu-se com a AT&T Business sob a marca AT&T Security, mas seu principal produto é atualmente vendido com o nome antigo. Esta ferramenta, como a maioria das outras plataformas na análise, tem mais funcionalidade do que o SIEM tradicional. Portanto, no AlienVault USM, existem vários módulos responsáveis pelo controle de ativos, captura completa de pacotes, etc. A plataforma também é capaz de testar a rede quanto a vulnerabilidades, e isso pode ser uma verificação única e monitoramento contínuo. Neste último caso, as notificações sobre a presença de uma nova vulnerabilidade são recebidas quase simultaneamente com seu aparecimento.
Outros recursos da plataforma incluem uma avaliação de vulnerabilidade de infraestrutura, que mostra o quão segura é a rede e como ela está configurada para atender aos padrões de segurança. A plataforma também sabe como detectar ataques na rede e notificá-los em tempo hábil. Nesse caso, os administradores recebem informações detalhadas sobre a origem da invasão, quais partes da rede foram atacadas e quais métodos são usados pelos invasores, bem como o que precisa ser feito para repeli-la primeiro. Além disso, o sistema é capaz de detectar e relatar ataques internos de dentro da rede.
Com uma solução proprietária da AlienApps, a plataforma USM é capaz de se integrar e complementar com eficácia as soluções de segurança de muitos terceiros. Essas ferramentas também aprimoram os recursos de personalização de segurança e automação de resposta a ameaças do AlienVault USM. Assim, quase todas as informações sobre o status de segurança da rede corporativa ficam disponíveis diretamente na interface da plataforma. Essas ferramentas também fornecem a capacidade de automatizar e organizar ações de resposta quando ameaças são detectadas, tornando mais fácil e rápido detectar e responder a incidentes. Por exemplo, se um link para um site de phishing for encontrado, um administrador pode enviar dados a um serviço de proteção DNS de terceiros para bloquear automaticamente esse endereço - portantoele ficará indisponível para visita em computadores dentro da organização.
Micro Focus ArcSight Enterprise Security Manager
A plataforma SIEM da Micro Focus , desenvolvida pela HPE até 2017, é uma ferramenta abrangente para descobrir, analisar e gerenciar fluxos de trabalho em tempo real. A ferramenta fornece amplas oportunidades para coletar informações sobre o estado da rede e os processos que ocorrem nela, bem como um grande conjunto de conjuntos prontos de regras de segurança. Muitos recursos do ArcSight Enterprise Security Manager são automatizados, como a identificação e priorização de ameaças. Para investigações, esta ferramenta pode ser integrada com outra solução proprietária - ArcSight Investigate. Ele pode detectar ameaças desconhecidas e realizar pesquisas inteligentes rápidas, bem como visualizar dados.
A plataforma é capaz de processar informações dos mais diversos tipos de dispositivos, segundo os desenvolvedores, são mais de 500. Seus mecanismos suportam todos os formatos de eventos comuns. As informações coletadas de fontes online são convertidas em um formato universal para uso na plataforma. Essa abordagem identifica rapidamente as situações que exigem investigação ou ação imediata e ajuda os administradores a se concentrarem nas ameaças mais urgentes e de alto risco.
Para empresas com extensas redes de escritórios e divisões, o ArcSight ESM permite o uso do modelo de operação SecOps, quando equipes de segurança remotas estão unidas e podem trocar relatórios, processos, ferramentas e informações em tempo real. Portanto, para todos os departamentos e escritórios, eles podem aplicar um conjunto centralizado de configurações, políticas e regras, usar uma matriz unificada de funções e direitos de acesso. Essa abordagem permite que você responda rapidamente às ameaças, onde quer que elas apareçam na empresa.
Plataforma RSA NetWitness
A plataforma da RSA (uma das divisões da Dell) é um conjunto de módulos que fornecem visibilidade de ameaças com base em dados de uma variedade de fontes de rede: endpoints, NetFlow, dispositivos de segurança, informações de pacotes transmitidos, etc. Para isso, uma combinação de múltiplos dispositivos físicos e / ou virtuais que processam informações em tempo real e emitem alertas baseados nelas, bem como armazenam dados para investigações futuras. Além disso, o desenvolvedor oferece uma arquitetura para pequenas empresas e grandes redes distribuídas.
A plataforma NetWitness é capaz de identificar ameaças internas e trabalha com informações contextuais sobre uma determinada infraestrutura, o que permite priorizar alertas e otimizar o trabalho de acordo com as especificidades da organização. A plataforma também é capaz de comparar informações sobre incidentes individuais, o que permite determinar a escala total dos ataques à rede e configurá-la de forma a minimizar riscos semelhantes no futuro.
Os desenvolvedores prestam muita atenção ao trabalhar com terminais. Portanto, na plataforma RSA NetWitness há um módulo separado para isso, que fornece sua visibilidade tanto no nível do usuário quanto no nível do kernel. A ferramenta pode detectar atividades anômalas, bloquear processos suspeitos e avaliar a vulnerabilidade de um determinado dispositivo. E os dados coletados são levados em consideração na operação de todo o sistema e também afetam a avaliação geral da segurança da rede.
Plataforma de segurança FireEye Helix
A plataforma baseada em nuvem da FireEye permite que as organizações controlem quaisquer incidentes, desde os relatórios até a correção da situação. Ele combina muitas ferramentas proprietárias e pode se integrar com ferramentas de terceiros. A Helix Security Platform emprega uma ampla análise do comportamento do usuário para reconhecer ameaças internas e ataques que não sejam de malware.
Para combater ameaças, a ferramenta não só usa notificações de administradores, mas também aplica conjuntos de regras predefinidos, que chegam a cerca de 400. Isso minimiza o número de falsos positivos e libera os administradores da verificação constante de mensagens de ameaças. Além disso, o sistema oferece a capacidade de investigação e busca de ameaças, análise comportamental, suporte a múltiplos recursos para obtenção de informações e conveniente gerenciamento de todo o complexo de segurança.
A ferramenta faz um bom trabalho na detecção de ameaças avançadas. A Helix Security Platform tem a capacidade de integrar mais de 300 ferramentas de segurança da FireEye e de fornecedores terceirizados. Ao analisar o contexto de outros eventos, essas ferramentas fornecem um alto nível de detecção de ataques encobertos e disfarçados.
Rapid7 insightIDR
A empresa Rapid7 oferece aos clientes a plataforma nuvem-SIEM, aprimorada pela análise do comportamento. O sistema realiza análises aprofundadas de logs e logs e também configura armadilhas especiais para detectar intrusões ilegais na rede. As ferramentas do InsightIDR monitoram continuamente a atividade do usuário e os correlacionam com eventos de rede. Isso não apenas ajuda a identificar usuários internos, mas também evita violações de segurança intencionais.
O Rapid7 insightIDR monitora continuamente os terminais. Isso torna possível ver processos incomuns, comportamento atípico do usuário, tarefas estranhas, etc. Se tais ações forem detectadas, o sistema permite que você verifique se elas se repetem em outros computadores ou permanecem um problema local. E quando surgem problemas e incidentes são investigados, uma ferramenta visual é usada que sistematiza convenientemente os dados acumulados ao longo do tempo e simplifica muito a investigação.
Para melhor combater as ameaças, os especialistas do desenvolvedor podem avaliar de forma independente o grau de proteção do ambiente corporativo, desde equipamentos até processos e políticas atuais. Isso permite que você crie um esquema de proteção de rede ideal do zero usando o Rapid7 insightIDR ou melhore os esquemas existentes.
Fortinet FortiSIEM
Fortinet 's solução abrangente e escalável é parte da plataforma Tecido Segurança Fortinet. A solução vem na forma de dispositivos físicos, mas também pode ser usada com base em uma infraestrutura em nuvem ou como um dispositivo virtual. A ferramenta fornece uma ampla gama de fontes de informação - mais de 400 dispositivos de outros fabricantes são suportados. Isso inclui endpoints, dispositivos IoT, aplicativos, segurança e muito mais.
A plataforma é capaz de coletar e processar informações de terminais, incluindo integridade de arquivos, alterações de registro e programas instalados e outros eventos suspeitos. FortiSIEM tem ferramentas de análise aprofundadas que incluem pesquisa de eventos em tempo real e passados, pesquisas de atributos e palavras-chave, listas de observação que mudam dinamicamente que são usadas para detectar violações críticas e muito mais.
A ferramenta fornece aos administradores painéis totalmente funcionais e personalizáveis que melhoram drasticamente a usabilidade do sistema. Eles têm a capacidade de reproduzir apresentações de slides para demonstrar o desempenho do sistema, gerar uma variedade de relatórios e análises e usar códigos de cores para destacar eventos críticos.
Em vez de um posfácio
Existe um grande número de soluções SIEM no mercado, a maioria das quais bastante funcionais. Freqüentemente, seus recursos vão além da definição padrão de SIEM e oferecem aos clientes uma ampla variedade de ferramentas de gerenciamento de rede. Além disso, muitos funcionam assim que saem da caixa, exigindo uma intervenção mínima durante a instalação e configuração inicial. Mas também há um problema: eles podem diferir em dezenas de pequenos parâmetros, dos quais não é possível falar em uma análise. Portanto, em cada caso específico, é necessário selecionar uma solução não só com base nas principais necessidades da empresa, mas também levar em consideração pequenos detalhes e o crescimento futuro da organização.
Chamamos sua atenção para os pontos principais, e o teste de versões de teste de produtos o ajudará a entender escrupulosamente as complexidades e nuances. Felizmente, quase todos os fornecedores oferecem essa oportunidade.
Autor: Dmitry Onishchenko