Elastic SIEM - Instalação e Configuração do LAB (Parte I)

SIEM significa Security Information and Event Management. As ferramentas SIEM geralmente fornecem dois resultados principais: relatórios e alertas. Uma ferramenta de apoio às equipes de segurança da informação em processos de auditoria, monitoramento e respostas a incidentes. Neste artigo, é abordado o uso do Elastic Stack para uso da funcionalidade de SIEM.

[ Hits: 786 ]

Por: Wagner Souza em 20/07/2022 | Blog: https://medium.com/@souzaw


Introdução



Fala pessoal! Mais um artigo para contribuir e fortalecer a comunidade Elastic e de segurança da informação. Dessa vez, atendendo a alguns pedidos, estarei apresentando os passos de instalação e configuração do Elastic SIEM.

Este é parte da solução Elastic Security a qual tem o objetivo de unificar recursos de segurança como análise e correlação de eventos com ações reativas em endpoints para mitigação de ameaças. A Elastic é uma empresa open source e oferece seus produtos de forma gratuita cobrando apenas serviços. Para mais informações, acesse o link Preços da Elastic.

Conceito de SIEM SIEM


significa Security Information and Event Management. As ferramentas SIEM geralmente fornecem dois resultados principais: relatórios e alertas. Os relatórios agregam e exibem incidentes e eventos relacionados à segurança, como atividades maliciosas e tentativas de login malsucedidas. Os alertas serão acionados se o mecanismo de análise da ferramenta detectar atividades que violam um conjunto de regras, sinalizando, consequentemente, um problema de segurança.

Funcionalidades

  • Agregação de dados: o gerenciamento de log agrega dados de muitas fontes, incluindo rede, segurança, servidores, bancos de dados, aplicativos, fornecendo a capacidade de consolidar os dados monitorados para ajudar a evitar a perda de eventos cruciais.
  • Correlação: procura atributos comuns e vincula eventos em pacotes significativos. Essa tecnologia fornece a capacidade de fazer uma variedade de técnicas de correlação para integrar diferentes fontes, para transformar dados em informações úteis.
  • Alerta: a análise automatizada de eventos correlacionados e produção de alertas, para informar aos destinatários sobre problemas imediatos. O alerta pode ser para um painel ou enviado por meio de canais de terceiros, como e-mail.
  • Dashboards: moldar dados de eventos e transformá-los em gráficos informativos para ajudar a ver padrões ou identificar atividades que estejam em não conformidade com os aspectos de segurança.
  • Conformidade: os aplicativos podem ser empregados para automatizar a coleta de dados de conformidade, produzindo relatórios que se adaptam aos processos existentes de segurança, governança e auditoria.
  • Retenção: empregando armazenamento de longo prazo de dados históricos para facilitar a correlação de dados ao longo do tempo e para fornecer a retenção necessária para os requisitos de conformidade. A retenção de dados de log de longo prazo é crítica em investigações forenses, pois é improvável que a descoberta de uma violação de rede seja no momento da ocorrência da violação.

    Próxima página

Páginas do artigo
   1. Introdução
   2. A Stack Elastic - Instalação e Configuração
Outros artigos deste autor

Atualização das provas LPIC-1, 304 e Essentials

Montando Servidor de Internet com Ubuntu Server

Teste de Intrusão com Metasploit

Shell Script nosso de cada dia - Episódio 3

Resetando senha de usuário root em sistemas Debian e Red Hat

Leitura recomendada

Criando um cluster de alta performance para quebrar senhas

Detectando possíveis trojans e lkms em seu servidor

Instalando e configurando Nagios no Linux Fedora 8

PortSentry: Melhorando a segurança do seu Linux

Servidor de e-mail seguro com ClamAV e MailScanner

  
Comentários

Nenhum comentário foi encontrado.


Contribuir com comentário