Informações de segurança e gerenciamento de eventos (SIEM) e orquestração, automação e resposta de segurança (SOAR) são ferramentas integrais de um centro de operações de segurança (SOC) e auxiliam no gerenciamento e resposta a incidentes. Enquanto o SIEM envolve a análise de logs de várias fontes para detectar ameaças, o SOAR trata de orquestrar várias informações e automatizar a resposta. É fundamental compreender as diferenças entre essas duas abordagens porque ambas são essenciais para ajudar um analista de segurança, mas de maneiras únicas. Vamos dar um passo de cada vez.
SIEM
SIEM é a fusão moderna de gerenciamento de informações de segurança (SIM) e gerenciamento de eventos de segurança (SEM). Enquanto o SIM envolve coleta, armazenamento e análise de logs de várias fontes para acompanhar as atividades da rede, o SEM é dar um passo adiante e avaliar os logs em tempo real para detectar atividades anormais. A combinação dos dois — SIEM — rastreia as pegadas de um invasor nas fontes, conecta os pontos usando regras de correlação estabelecidas e emite alertas para a equipe de segurança, tudo em um único painel.
As informações básicas de um log devem incluir: qual usuário executou qual atividade, em qual host e quando.Um evento de segurança é qualquer alteração observada no comportamento normal na rede. Exemplos de eventos incluem sessões de logon inesperadas em uma rede, bloqueios de conta e tentativas de senha com falha.
Componentes do SIEM
Uma solução SIEM analisa os dados de log para detectar ameaças e ajuda você a aderir aos padrões de conformidade. Seus componentes principais são:
-
Coleta de logs: ingestão de logs de servidores, firewalls, estações de trabalho, bancos de dados, aplicativos, serviços em nuvem, etc.
- Análise e categorização: agregando e processando logs brutos coletados de diferentes fontes em um formato padrão.
- Correlação e relatórios: Encontrando padrões, identificando anomalias com casos de uso, atribuindo pontuações de risco com base na gravidade e emitindo alertas para a equipe SOC.
Uma boa solução SIEM pode ajudá-lo a aproveitar ao máximo seus dados de log, através de:
- Monitoramento e identificação de riscos em tempo real, permitindo detectar ataques à medida que eles acontecem.
- Geração de relatórios e dashboards consolidados para que a equipe de SOC tenha uma visão abrangente do ambiente de segurança.
- Acompanhamento de políticas corporativas e regulatórias como PCI DSS, SOX, HIPAA e outras por meio de monitoramento de conformidade.
Em poucas palavras, um sistema SIEM reúne logs de várias fontes, analisa-os para identificar riscos, atribui uma pontuação de risco com base em regras estabelecidas e informa o analista de segurança sobre qualquer incidente de alto risco.
Quando a equipe de segurança obtiver visibilidade suficiente de seu cenário de rede por meio de uma solução SIEM, o cenário estará pronto para a próxima série de etapas que um analista de segurança pode executar para responder à ameaça.
SOAR
Normalmente, a equipe de operações de segurança está exausta por lidar continuamente com alertas que variam de gravidade baixa a alta. Cada alerta, concorda-se, requer uma resposta rápida, mas não precisa ser dependente de humanos. O SOAR propõe automatizar e agilizar essas tarefas rotineiras de resposta a incidentes por meio de fluxos de trabalho predefinidos, economizando tempo e esforço.
Componentes do SOAR
O SOAR se concentra em obter mais contexto sobre uma ameaça, automatizando tarefas de rotina e ajudando o SOC a responder a incidentes mais rapidamente. Seus componentes principais são:
-
Alertas de ingestão: busca feeds de ameaças do SIEM, inteligência de ameaças externas e outras plataformas baseadas em API.
-
Orquestração e automação: investiga automaticamente as ameaças integrando-se a várias ferramentas e soluções associadas.
- Resposta a ameaças: implementa uma correção rápida e automática conforme instruído por um manual ou fluxo de trabalho.
- Resolução: cria insights com análise avançada de ameaças e escala, se necessário, atribuindo automaticamente tíquetes para acompanhamento e investigação adicional por um analista.
Além dos feeds de ameaças, o SOAR também coleta dados de plataformas externas de inteligência de ameaças, software de segurança de endpoints e outras fontes de terceiros para determinar o quadro completo da situação. Os alertas são investigados após serem mapeados para casos de uso específicos e as medidas corretivas predefinidas são executadas. Os usuários também podem criar e personalizar caminhos investigativos e ações corretivas. Para garantir que nenhum incidente crítico seja perdido, os tickets automatizados podem ser atribuídos pela integração com uma central de atendimento ou outras plataformas de tickets.
O SOAR permite que a equipe de segurança aborde mais ameaças com eficiência e reduza o tempo de reação.
E qual é a diferença?
Vamos com um exemplo simples. A equipe de SOC da organização ABC recebe uma notificação de seu sistema SIEM sobre um possível ataque de força bruta.
A solução SIEM evidencia isso a partir do processamento de logs coletados em tempo real. Os inúmeros logs gerados em uma rede são agregados e armazenados em um formato pesquisável. Nesse evento específico, verifica-se que o usuário tentou 10 logins em menos de um minuto e falhou antes de efetuar login com êxito. Isso viola uma regra predefinida e um alerta é acionado.
Agora que o alerta foi gerado, o analista de segurança deve investigar e agir. Mas o problema é que é apenas um dos 1.000 alertas semelhantes que eles recebem todos os dias. Com o SOAR em vigor, o alerta aciona automaticamente um fluxo de trabalho personalizado que desabilita o usuário. O SOAR também agrupa alertas semelhantes para criar um incidente e atribui um ticket a um técnico dedicado para uma investigação mais aprofundada do ataque.
Se o SOAR não estivesse pronto para iniciar rapidamente uma correção, o ataque poderia ter saído do controle quando um analista de segurança chegasse ao local para investigar o alerta.
Agora você pode ver a diferença: o SIEM analisa e gera alertas de logs, enquanto o SOAR recebe todos esses alertas e muito mais, correlaciona-os e automaticamente faz as correções apropriadas.
Ambos são componentes críticos da arquitetura de gerenciamento de incidentes de uma organização e, curiosamente, não são mais conceitos distintos. Ambos convergiram para se tornar uma única entidade. Uma solução SIEM sólida agora incorpora os recursos do SOAR para fornecer gerenciamento e resposta a incidentes em 360 graus.
Portant, não deixe de conferir o Log360, uma solução SIEM abrangente da ManageEngine, apresentando detecção de ameaças orientada por análise comportamental de usuários e entidades (UEBA) e recursos SOAR para gerenciamento e resposta eficazes a incidentes.
Quer saber mais sobre SOAR, SIEM e gerenciamento de eventos? Não deixe de conferir os outros posts do nosso blog!
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Varun K.