Soluções

SIEM – Security Information Event Management

Atualmente, as redes são cada vez maiores e mais complexas, e protegê-las contra atividades maliciosas é uma tarefa extremamente complexa. As organizações que procuram salvaguardar a sua propriedade intelectual, proteger a identidade dos seus clientes e evitar as interrupções do seu negócio, tem de realizar tarefas que não se limitam a monitorizar os registos e os dados de fluxo da rede. Além disso, têm de potenciar as ferramentas avançadas para detetar estas atividades de uma forma heurística e comportamental, integrada com inteligência e análise forense.

O SIEM é a tecnologia core dentro de um Centro de Operações de Segurança (SOC) de uma pequena ou grande entidade para recolher, normalizar, correlacionar os dados e com frameworks superiores de intelligence, utilizando conhecimentos contextuais acumulados durante anos. O resultado é a chamada inteligência integrada de segurança e cibersegurança em sistemas de informação.

No core desta tecnologia encontra-se uma base de dados altamente escalável concebida para capturar eventos de registo em tempo real e dados de fluxo da rede, revelando as marcas e evidências deixadas pelos possíveis atacantes. O SIEM é uma solução empresarial que consolida os dados de eventos com origem nos registos de milhares de dispositivos distribuídos ao longo de uma rede, armazenando cada atividade na sua forma mais bruta e realizando, em seguida, atividades de correlação imediatas para distinguir as ameaças reais dos falsos positivos. Captura os dados de fluxo de rede desde Layer 4 em tempo real e, de modo ainda mais único, ao nível aplicacional Layer 7, utilizando a tecnologia de Inspeção Profunda dos Pacotes (DPI).

 

O SIEM por norma, recolhe dados sobre:

  • Eventos de segurança: Eventos de firewalls, VPNs, IPS, IAM, AV, URL filtering, APP control, Proxys,…
  • Eventos de rede: Eventos de switchs layer 3, routers, servidores, gateways,…
  • Eventos aplicacionais: Bases de dados, aplicações Layer 7 da rede e tráfego de aplicações
  • Contexto externo: recolha e integração com sistemas de deteção de vulnerabilidades, DLP’s externos, Honeypots
  • Informações do sistema operativo: Nome do fabricante e dados de versão específicos para os ativos ligados na rede.

 

Correlação de Eventos                                                        

  • Registos/Eventos
  • Fluxos                                                  
  • Reputação de IP                                  
  • Localização Geográfica

 Identificação de Ofensa

  • Credibilidade                              
  • Gravidade
  • Relevância  

Planeamento  de Atividades e Deteção de Anomalias

  • Atividades de utlizadores
  • Atividades de bases de dados
  • Atividades das aplicações
  • Atividade de rede