O SIEM (Security Information and Event Mangement) é uma tecnologia utilizada para apoiar na deteção de Incidentes de Segurança e/ou como ferramenta para estar em conformidade com regulamentação e compliance que a organização tenha de respeitar. É no SIEM que se vai concentrar a informação proveniente de múltiplas fontes (firewall, EPP, EDR, IDS/IPS, aplicações, …) que vai ser monitorizada, registada, correlacionada e analisada em tempo real.
Utilizar um SIEM aporta benefícios às organizações, como por exemplo, a integração de informação proveniente de várias fontes, o apoio à monitorização centralizada, a análise de informação em contexto, a adaptação dos processos de controlo à realidade da organização, a disponibilização de mecanismos de alerta e a produção de relatórios de conformidade. Usualmente as ferramentas de SIEM disponibilizam vários tipos de recursos, múltiplas possibilidades de configuração suportando distintos tipos de arquiteturas, terão, uns mais que outros, capacidade de customização e darão resposta a vários casos de uso.
De uma forma geral, o SIEM deverá entre outras, ter as seguintes características:
Monitorização: Capacidade de monitorização da segurança dos serviços ativos e de interrupções indesejadas do serviço ou serviços que estejam em execução.
Capacidade de relacionar eventos: É imprescindível que o SIEM tenha a capacidade de potenciar a análise rápida da informação que coleta e de deteção de padrões anómalos. No mínimo deverá ter a capacidade de fazer o correlacionamento de informação, disponibilizar funcionalidade analítica e incorporar capacidades de Machine Learning,
Produção de Relatórios: É importante a capacidade de produzir relatórios técnicos, relatórios para a gestão (por categorias, ativos, malware, aplicações,…) e automatizar a produção e envio desses relatórios.
Relatórios de Conformidade: A capacidade de permitir produzir relatórios sobre as normas que interessem à organização (Standards ISO27001:2013, RGPD, … ) e respetiva customização .
Inviolabilidade dos Logs: É imprescindível que o SIEM garanta a integridade dos Logs que armazena, seja por questões de conformidade e auditora interna ou externa, seja pela eventual necessidade de realização de ações forenses.