Elastic SIEM - Instalação e Configuração do LAB (Parte I)
SIEM significa Security Information and Event Management. As ferramentas SIEM geralmente fornecem dois resultados principais: relatórios e alertas. Uma ferramenta de apoio às equipes de segurança da informação em processos de auditoria, monitoramento e respostas a incidentes. Neste artigo, é abordado o uso do Elastic Stack para uso da funcionalidade de SIEM.
Introdução
Fala pessoal! Mais um artigo para contribuir e fortalecer a comunidade Elastic e de segurança da informação. Dessa vez, atendendo a alguns pedidos, estarei apresentando os passos de instalação e configuração do Elastic SIEM.
Este é parte da solução Elastic Security a qual tem o objetivo de unificar recursos de segurança como análise e correlação de eventos com ações reativas em endpoints para mitigação de ameaças. A Elastic é uma empresa open source e oferece seus produtos de forma gratuita cobrando apenas serviços. Para mais informações, acesse o link Preços da Elastic.
significa Security Information and Event Management. As ferramentas SIEM geralmente fornecem dois resultados principais: relatórios e alertas. Os relatórios agregam e exibem incidentes e eventos relacionados à segurança, como atividades maliciosas e tentativas de login malsucedidas. Os alertas serão acionados se o mecanismo de análise da ferramenta detectar atividades que violam um conjunto de regras, sinalizando, consequentemente, um problema de segurança.
Este é parte da solução Elastic Security a qual tem o objetivo de unificar recursos de segurança como análise e correlação de eventos com ações reativas em endpoints para mitigação de ameaças. A Elastic é uma empresa open source e oferece seus produtos de forma gratuita cobrando apenas serviços. Para mais informações, acesse o link Preços da Elastic.
Conceito de SIEM SIEM
significa Security Information and Event Management. As ferramentas SIEM geralmente fornecem dois resultados principais: relatórios e alertas. Os relatórios agregam e exibem incidentes e eventos relacionados à segurança, como atividades maliciosas e tentativas de login malsucedidas. Os alertas serão acionados se o mecanismo de análise da ferramenta detectar atividades que violam um conjunto de regras, sinalizando, consequentemente, um problema de segurança.
Funcionalidades
- Agregação de dados: o gerenciamento de log agrega dados de muitas fontes, incluindo rede, segurança, servidores, bancos de dados, aplicativos, fornecendo a capacidade de consolidar os dados monitorados para ajudar a evitar a perda de eventos cruciais.
- Correlação: procura atributos comuns e vincula eventos em pacotes significativos. Essa tecnologia fornece a capacidade de fazer uma variedade de técnicas de correlação para integrar diferentes fontes, para transformar dados em informações úteis.
- Alerta: a análise automatizada de eventos correlacionados e produção de alertas, para informar aos destinatários sobre problemas imediatos. O alerta pode ser para um painel ou enviado por meio de canais de terceiros, como e-mail.
- Dashboards: moldar dados de eventos e transformá-los em gráficos informativos para ajudar a ver padrões ou identificar atividades que estejam em não conformidade com os aspectos de segurança.
- Conformidade: os aplicativos podem ser empregados para automatizar a coleta de dados de conformidade, produzindo relatórios que se adaptam aos processos existentes de segurança, governança e auditoria.
- Retenção: empregando armazenamento de longo prazo de dados históricos para facilitar a correlação de dados ao longo do tempo e para fornecer a retenção necessária para os requisitos de conformidade. A retenção de dados de log de longo prazo é crítica em investigações forenses, pois é improvável que a descoberta de uma violação de rede seja no momento da ocorrência da violação.
Bom artigo.
___________________________________________________________
Conhecimento não se Leva para o Túmulo.
https://github.com/mxnt10