Elastic SIEM - Instalação e Configuração do LAB (Parte I)

SIEM significa Security Information and Event Management. As ferramentas SIEM geralmente fornecem dois resultados principais: relatórios e alertas. Uma ferramenta de apoio às equipes de segurança da informação em processos de auditoria, monitoramento e respostas a incidentes. Neste artigo, é abordado o uso do Elastic Stack para uso da funcionalidade de SIEM.

[ Hits: 6.686 ]

Por: Wagner Souza em 20/07/2022 | Blog: https://medium.com/@souzaw


Introdução



Fala pessoal! Mais um artigo para contribuir e fortalecer a comunidade Elastic e de segurança da informação. Dessa vez, atendendo a alguns pedidos, estarei apresentando os passos de instalação e configuração do Elastic SIEM.

Este é parte da solução Elastic Security a qual tem o objetivo de unificar recursos de segurança como análise e correlação de eventos com ações reativas em endpoints para mitigação de ameaças. A Elastic é uma empresa open source e oferece seus produtos de forma gratuita cobrando apenas serviços. Para mais informações, acesse o link Preços da Elastic.

Conceito de SIEM SIEM


significa Security Information and Event Management. As ferramentas SIEM geralmente fornecem dois resultados principais: relatórios e alertas. Os relatórios agregam e exibem incidentes e eventos relacionados à segurança, como atividades maliciosas e tentativas de login malsucedidas. Os alertas serão acionados se o mecanismo de análise da ferramenta detectar atividades que violam um conjunto de regras, sinalizando, consequentemente, um problema de segurança.

Funcionalidades

  • Agregação de dados: o gerenciamento de log agrega dados de muitas fontes, incluindo rede, segurança, servidores, bancos de dados, aplicativos, fornecendo a capacidade de consolidar os dados monitorados para ajudar a evitar a perda de eventos cruciais.
  • Correlação: procura atributos comuns e vincula eventos em pacotes significativos. Essa tecnologia fornece a capacidade de fazer uma variedade de técnicas de correlação para integrar diferentes fontes, para transformar dados em informações úteis.
  • Alerta: a análise automatizada de eventos correlacionados e produção de alertas, para informar aos destinatários sobre problemas imediatos. O alerta pode ser para um painel ou enviado por meio de canais de terceiros, como e-mail.
  • Dashboards: moldar dados de eventos e transformá-los em gráficos informativos para ajudar a ver padrões ou identificar atividades que estejam em não conformidade com os aspectos de segurança.
  • Conformidade: os aplicativos podem ser empregados para automatizar a coleta de dados de conformidade, produzindo relatórios que se adaptam aos processos existentes de segurança, governança e auditoria.
  • Retenção: empregando armazenamento de longo prazo de dados históricos para facilitar a correlação de dados ao longo do tempo e para fornecer a retenção necessária para os requisitos de conformidade. A retenção de dados de log de longo prazo é crítica em investigações forenses, pois é improvável que a descoberta de uma violação de rede seja no momento da ocorrência da violação.

    Próxima página

Páginas do artigo
   1. Introdução
   2. A Stack Elastic - Instalação e Configuração
Outros artigos deste autor

Teste de Intrusão com Metasploit

Montando Servidor de Internet com Ubuntu Server

Resetando senha de usuário root em sistemas Debian e Red Hat

Shell Script nosso de cada dia - Episódio 3

Atualização das provas LPIC-1, 304 e Essentials

Leitura recomendada

Solução de backup para servidores Windows, Linux & BSD’s

PSAD: Port Scan Attack Detector

Seu maior inimigo é você mesmo!

John The Ripper - Teste de Quebra de Senhas

Configurando um servidor Freeradius + openLDAP

  
Comentários
[1] Comentário enviado por maurixnovatrento em 23/10/2022 - 11:12h


Bom artigo.

___________________________________________________________
Conhecimento não se Leva para o Túmulo.
https://github.com/mxnt10

[2] Comentário enviado por FranklinSD em 03/11/2022 - 06:36h

Thanks for the information, I will try to figure it out for more. Keep sharing such informative post keep suggesting such post.


https://www.tellpopeyes.onl/

[3] Comentário enviado por ElmiroDuarte em 06/12/2022 - 03:49h


Muito interessante o artigo, alguém já implementou a pilha ELK em docker e/ou kubernets ?

[4] Comentário enviado por ricardoolonca em 13/12/2022 - 18:18h

Parabenizo as pessoas que gastam tempo fazendo artigos. Isso é louvável. Só acho que, ao invés de criar um script e ensinar a executá-lo, sugiro fazer passo-a-passo explicando o que cada comando do script está fazendo. Isso por que conheço muita gente que pega receitas de bolo como esse script e, quando algum erro aparece, não sabem como investigar a causa. O objetivo do artigo deve ser a troca de conhecimento, muito embora o script seja uma mão na roda.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts