Fala pessoal! Mais um artigo para contribuir e fortalecer a comunidade Elastic e de segurança da informação. Dessa vez, atendendo a alguns pedidos, estarei apresentando os passos de instalação e configuração do Elastic SIEM.

Este é parte da solução Elastic Security a qual tem o objetivo de unificar recursos de segurança como análise e correlação de eventos com ações reativas em endpoints para mitigação de ameaças. A Elastic é uma empresa open source e oferece seus produtos de forma gratuita cobrando apenas serviços. Para mais informações, acesse o link Preços da Elastic.

Conceito de SIEM SIEM

significa Security Information and Event Management. As ferramentas SIEM geralmente fornecem dois resultados principais: relatórios e alertas. Os relatórios agregam e exibem incidentes e eventos relacionados à segurança, como atividades maliciosas e tentativas de login malsucedidas. Os alertas serão acionados se o mecanismo de análise da ferramenta detectar atividades que violam um conjunto de regras, sinalizando, consequentemente, um problema de segurança.

Funcionalidades

• Agregação de dados: o gerenciamento de log agrega dados de muitas fontes, incluindo rede, segurança, servidores, bancos de dados, aplicativos, fornecendo a capacidade de consolidar os dados monitorados para ajudar a evitar a perda de eventos cruciais.
• Correlação: procura atributos comuns e vincula eventos em pacotes significativos. Essa tecnologia fornece a capacidade de fazer uma variedade de técnicas de correlação para integrar diferentes fontes, para transformar dados em informações úteis.
• Alerta: a análise automatizada de eventos correlacionados e produção de alertas, para informar aos destinatários sobre problemas imediatos. O alerta pode ser para um painel ou enviado por meio de canais de terceiros, como e-mail.
• Dashboards: moldar dados de eventos e transformá-los em gráficos informativos para ajudar a ver padrões ou identificar atividades que estejam em não conformidade com os aspectos de segurança.
• Conformidade: os aplicativos podem ser empregados para automatizar a coleta de dados de conformidade, produzindo relatórios que se adaptam aos processos existentes de segurança, governança e auditoria.
• Retenção: empregando armazenamento de longo prazo de dados históricos para facilitar a correlação de dados ao longo do tempo e para fornecer a retenção necessária para os requisitos de conformidade. A retenção de dados de log de longo prazo é crítica em investigações forenses, pois é improvável que a descoberta de uma violação de rede seja no momento da ocorrência da violação.