O que é SIEM e como funciona?

Casos de uso de SIEM

O SIEM tem muitos casos de uso no cenário de ameaças moderno, incluindo detecção e prevenção de ameaças internas e externas, como bem como a conformidade com vários padrões legais.

SIEM usa em conformidade

Regulamentações de conformidade mais rígidas estão forçando as empresas a investir mais pesadamente em segurança de TI e o SIEM desempenha um papel importante função, ajudando as organizações a cumprir os padrões PCI DSS, GDPR, HIPAA e SOX. Essas exigências de conformidade estão se tornando mais prevalentes e colocam uma pressão cada vez maior na detecção e no relato de quebras. Embora o SIEM tenha sido inicialmente usado principalmente por grandes empresas, devido à ênfase crescente na conformidade e na manutenção da segurança dos negócios, ele pode ser necessário para empresas de pequeno e médio porte porque regulamentações como o GDPR são aplicáveis a organizações independentemente de seu tamanho.

Segurança de IoT

O mercado de Internet das Coisas (IoT) está crescendo. O Gartner previu que haverá 26 bilhões de dispositivos conectados em 2020. Mas com o progresso vem o risco, à medida que mais dispositivos conectados oferecem mais pontos de entrada através dos quais direcionar negócios, pois assim que um hacker estiver em uma parte da sua rede através de um dispositivo conectado, eles podem acessar o resto muito facilmente. A maioria dos fornecedores de soluções IoT fornece API e repositórios de dados externos que podem ser facilmente integrados às soluções SIEM. Isso torna o software SIEM e parte essencial da segurança cibernética de sua empresa, pois pode mitigar ameaças de IoT, como ataques DoS e sinalizar dispositivos em risco ou comprometidos como parte de seu ambiente.

Prevenção de ameaças internas

Ameaças externas não são as únicas coisas que tornam as organizações vulneráveis; ameaças internas representam um risco considerável, especialmente considerando a facilidade de acesso. O software SIEM permite que as organizações monitorem continuamente as ações dos funcionários e criem alertas para eventos irregulares com base na atividade ‘normal’. As empresas também podem usar o SIEM para conduzir o monitoramento granular de contas privilegiadas e criar alertas relacionados a ações que um determinado usuário não tem permissão para realizar, como instalar software ou disablingsecurity software.

Next gen vs legacy SIEM

O SIEM existe desde 2005, mas evoluiu significativamente desde sua gênese. O SIEM de última geração tem muitas atualizações, melhorias e novos recursos que seu antecessor não poderia se orgulhar. As limitações do SIEM legado incluem:

  • O SIEM não conseguia processar todos os dados pertinentes, então sua visualização era limitada
  • a manutenção do SIEM era demorada, pois o software era complexo e difícil para operar
  • O SIEM criou um trabalho demorado para as equipes de segurança, pois o software produzia muitos falsos positivos

Conforme a tecnologia avançava, os ataques evoluíam e o SIEM tinha que evoluir com ela. O software de última geração, como FireEye, inclui os seguintes recursos e benefícios:

  • Aberta, ‘arquitetura de big data’ permite integração mais rápida com a infraestrutura empresarial, incluindo nuvem, local e BYOD, que também é escalonável
  • SIEM também pode integrar inteligência de ameaças de fontes personalizadas, de código aberto e comerciais
  • Ferramentas de visualização em tempo real compreendem as atividades mais importantes e de alto risco para priorizar alertas. Isso inclui a capacidade de medir o status em relação a estruturas regulatórias, como PCI DSS) para priorização e gerenciamento de riscos
  • A análise de comportamento pode compreender o contexto do evento e reconhecer a intenção em cenários específicos. Ao usar esta UserEntity Behavior Analytics (UEBA), o software é capaz de destacar mudanças significativas no comportamento
  • SIEM de última geração também é personalizável para permitir que as equipes de segurança criem fluxos de trabalho personalizados com base em suas situações exclusivas

Como obter o máximo das soluções de segurança SIEM

Em um centro de operações de segurança tradicional, os processos de resposta a incidentes seguidos por equipes de segurança cibernética em todo o mundo costumam ser padronizados e podem levar horas. SOAR automatiza fluxos de trabalho e acelera a qualificação, investigação e resposta de ameaças, o que reduz os tempos de resposta, automatizando grandes partes do processo, o que ajuda as equipes de segurança a priorizar ameaças reais. Ele faz isso interagindo com outras tecnologias de segurança para realizar automaticamente as etapas iniciais de resposta a incidentes.

A UEBA também desempenha um papel importante nas capacidades do SIEM, pois é capaz de modelar o comportamento de humanos e também das máquinas dentro da rede , oferecendo detecção avançada de ameaças.

Helix Security Platform

A plataforma de operações de segurança hospedada na nuvem da FireEye, a HelixSecurity Platform, reúne SOAR, UEBA e outros recursos e os aumenta com a próxima geração SIEM para fornecer uma solução de segurança eficiente e fácil de implementar.

Leia mais sobre Helix e seus recursos.

Write a Comment

O seu endereço de email não será publicado. Campos obrigatórios marcados com *