O que é SIEM
O gerenciamento de segurança de informações e eventos (SIEM) é um conjunto de ferramentas e oferta de serviços uma visão holística da segurança da informação de uma organização.
As ferramentas SIEM fornecem:
- Visibilidade em tempo real dos sistemas de segurança da informação de uma organização.
- Log de eventos gerenciamento que consolida dados de várias fontes.
- Uma correlação de eventos coletados de diferentes logs ou fontes de segurança, usando regras if-then que adicionam inteligência aos dados brutos.
- Notificações automáticas de eventos de segurança . A maioria dos sistemas SIEM fornece painéis para problemas de segurança e outros métodos de notificação direta.
O SIEM funciona combinando duas tecnologias: a) Gerenciamento de informações de segurança (SIM), que coleta dados de arquivos de log para análise e relatórios sobre ameaças e eventos de segurança, eb) gerenciamento de eventos de segurança (SEM), que conduz o monitoramento do sistema em tempo real, notifica os administradores de rede sobre questões importantes e estabelece correlações entre os eventos de segurança.
As informações de segurança e O processo de gerenciamento de eventos pode ser dividido da seguinte forma:
- Coleta de dados – Todas as fontes de informações de segurança de rede, por exemplo, servidores, sistemas operacionais, firewalls, software antivírus e sistemas de prevenção de intrusão são configurados para alimentar o evento dados em uma ferramenta de SIEM. A maioria das ferramentas de SIEM modernas usa agentes para coletar logs de eventos de sistemas corporativos, que são processados, filtrados e enviados para o SIEM. Alguns SIEMs permitem a coleta de dados sem agente. Por exemplo, o Splunk oferece coleta de dados sem agente no Windows usando WMI.
- Políticas – um perfil é criado pelo administrador do SIEM, que define o comportamento dos sistemas corporativos, tanto em condições normais quanto durante incidentes de segurança predefinidos . Os SIEMs fornecem regras, alertas, relatórios e painéis padrão que podem ser ajustados e personalizados para atender a necessidades específicas de segurança.
- Consolidação e correlação de dados – as soluções de SIEM consolidam, analisam e analisam arquivos de log. Os eventos são então categorizados com base nos dados brutos e aplicam regras de correlação que combinam eventos de dados individuais em problemas de segurança significativos.
- Notificações – Se um evento ou conjunto de eventos disparar uma regra SIEM, o sistema notifica o pessoal de segurança.
Informações de segurança e ferramentas de gerenciamento de eventos
Existem várias soluções de segurança de informações e gerenciamento de eventos no mercado. Arcsight ESM, IBM QRadar e Splunk estão entre os mais populares.
ArcSight
O ArcSight coleta e analisa dados de log de tecnologias de segurança, sistemas operacionais e aplicativos de uma empresa. Assim que uma ameaça maliciosa é detectada, o sistema alerta a equipe de segurança.
O ArcSight também pode iniciar uma reação automática para interromper a atividade maliciosa. Outro recurso é a capacidade de integrar feeds de inteligência de ameaças de terceiros para detecção de ameaças mais precisa.
IBM QRadar
O IBM QRadar coleta dados de log de fontes em um sistema de informações corporativo, incluindo rede dispositivos, sistemas operacionais, aplicativos e atividades do usuário.
O QRadar SIEM analisa os dados de log em tempo real, permitindo que os usuários identifiquem e parem ataques rapidamente. O QRadar também pode coletar eventos de log e dados de fluxo de rede de aplicativos baseados em nuvem. Este SIEM também oferece suporte a feeds de inteligência de ameaças.
Splunk
O Splunk Enterprise Security fornece monitoramento de ameaças em tempo real, investigações rápidas usando correlações visuais e análise investigativa para rastrear as atividades dinâmicas associadas à segurança avançada ameaças.
O Splunk SIEM está disponível como software instalado localmente ou como um serviço em nuvem. Ele oferece suporte à integração de feed de inteligência de ameaças de aplicativos de terceiros.
Conformidade com SIEM e PCI DSS
As ferramentas de SIEM podem ajudar uma organização a se tornar compatível com PCI DSS. Este padrão de segurança garante aos clientes de uma empresa que seus dados de cartão de crédito e pagamento permanecerão protegidos contra roubo ou uso indevido.
Um SIEM pode atender aos seguintes requisitos PCI DSS:
- Não autorizado detecção de conexão de rede – as organizações compatíveis com PCI DSS precisam de um sistema que detecte todas as conexões de rede não autorizadas de / para os ativos de TI de uma organização. Uma solução SIEM pode ser usada como tal sistema.
- Procurando protocolos inseguros – Um SIEM é capaz de documentar e justificar o uso de serviços, protocolos e portas permitidos de uma organização, bem como recursos de segurança de documentos implementados para protocolos inseguros.
- Inspecione os fluxos de tráfego através do DMZ – organizações compatíveis com PCI precisam implementar um DMZ que gerencie conexões entre redes não confiáveis (por exemplo, a Internet) e um servidor web. Além disso, o tráfego de entrada da Internet para IPs dentro da DMZ precisa ser limitado, enquanto o tráfego de saída que trata dos detalhes do titular do cartão deve ser avaliado.
As soluções SIEM podem atender a esses requisitos inspecionando o tráfego que flui pela DMZ de e para sistemas internos e relatando problemas de segurança.
Veja como o Imperva Web Application Firewall pode ajudá-lo com a integração do SIEM.
Integração do SIEM com as soluções de segurança da Imperva
A Imperva fornece integração turnkey com as principais soluções de SIEM , incluindo ArcSight e Splunk.
Isso permite que nossos clientes integrem facilmente os dados de segurança fornecidos por nossos produtos em sua plataforma SIEM de escolha, onde podem ser acessados prontamente e visualizados em um contexto mais amplo.
Imperva integrado ao Splunk.
A integração do Imperva SIEM é personalizada feito para atender às necessidades de segurança do seu aplicativo, permitindo que você corte o ruído e priorize ameaças de alto risco. Ao mesmo tempo, você terá insights acionáveis.
Recursos específicos em nossos pacotes de integração incluem regras personalizáveis para correlação de eventos de segurança, opções para análise de ameaças específicas do site, um painel otimizado predefinido e muito mais.
Informações adicionais sobre a integração do Imperva cloud SIEM podem ser encontradas aqui.
As informações de integração do Imperva SIEM podem ser encontradas aqui.