Você já deve estar ciente da função de uma solução de gerenciamento de eventos e informações de segurança (SIEM) no monitoramento de firewalls e na garantia de que eles filtram o tráfego não legítimo. Ou talvez você ainda é um iniciante, encontrando seu caminho através do SIEM e vagando em meio a um labirinto de firewalls. De qualquer forma, você veio ao lugar certo. Com este blog, você aprenderá a otimizar e gerenciar suas regras de firewall usando o console central de uma solução SIEM.
Noções básicas de firewall
Um firewall é essencialmente um dispositivo de segurança de rede que atua como a primeira linha de defesa na proteção de sua organização contra qualquer acesso não autorizado. Simplificando, ele protege a rede interna da sua organização de fontes externas inseguras, agindo como uma barreira entre as duas. É considerada a primeira linha de defesa porque, sem um firewall, indivíduos não autorizados fora de sua rede podem fazer conexões com sua rede. Se isso ocorrer, um invasor poderá entrar em sua rede facilmente e comprometer outros dispositivos para aumentar privilégios ou exfiltrar dados confidenciais.
No entanto, com um firewall instalado, qualquer solicitação de conexão feita de fora da sua rede será monitorada e filtrada com base nas regras que você definir. Portanto, solicitações não solicitadas serão bloqueadas e apenas as solicitações genuínas serão repassadas, ajudando você a evitar tentativas de phishing e outros ataques mais sinistros. Depois de configurar sua política de firewall para bloquear solicitações de qualquer fonte suspeita ou maliciosa, você poderá proteger seus dados e privacidade, além de impedir que invasores infectem seus dispositivos de rede com malware e spyware.
Um firewall pode ser baseado em hardware ou baseado em software. O primeiro é um dispositivo físico que permite o gerenciamento centralizado da rede; o último é um aplicativo que acompanha o sistema operacional do seu dispositivo e monitora o tráfego entre seus aplicativos e a Internet. Um roteador com um firewall integrado é um exemplo de firewall baseado em hardware, enquanto o Windows Defender Firewall é um exemplo de firewall baseado em software. Ambos têm suas vantagens e armadilhas, por isso é sempre melhor ter ambos para proteger sua rede e seus dispositivos.
Adicionando um firewall a um SIEM
Agora que você se familiarizou com os fundamentos dos firewalls e sua importância para proteger sua organização contra ataques cibernéticos, vamos dar uma olhada em como você pode gerenciar seu firewall usando uma solução SIEM. Normalmente, quando um administrador de segurança de TI deseja alterar as regras de política de firewall, ele escreve um script para impor a alteração de política necessária ou acessa as configurações de firewall para fazer alterações na política de firewall. No entanto, com uma solução SIEM eficaz, você pode otimizar as regras de entrada e saída do seu firewall para bloquear ameaças maliciosas de forma eficaz.
O Log360 — um SIEM unificado com recursos integrados de DLP e CASB — vem com recursos de orquestração, automação e resposta de segurança (SOAR), permitindo configurar a resposta automatizada a incidentes. Isso significa que você pode configurar um fluxo de trabalho para um alerta que é acionado automaticamente sempre que os critérios de alerta são atendidos. Uma resposta adequada será dada para lidar com o evento, dependendo do fluxo de trabalho que você configurou. Dessa forma, os fluxos de trabalho podem ser usados para evitar ataques ou interromper um ataque em andamento. As respostas podem incluir ações como desabilitar um usuário, desligar um dispositivo ou sua rede, interromper um processo ou gerenciar regras de firewall.
Um firewall só é eficaz se sua política tiver sido configurada corretamente, e é aí que entra uma solução SIEM. As soluções SIEM modernas vêm com recursos SOAR que podem ajudá-lo a criar novas regras de firewall a partir de um console central baseado em fluxos de trabalho de resposta automatizados. Esses fluxos de trabalho podem ser ativados sempre que ocorrer um evento que justifique uma alteração nas regras do firewall.
Configurando regras de firewall com uma solução SIEM
Embora a configuração geral de uma solução SIEM seja diferente de fornecedor para fornecedor, qualquer boa solução SIEM permitiria que os analistas criassem seu próprio fluxo de trabalho. Para firewalls, o fluxo de trabalho seria baseado nas regras de “Entrada” e “Saída”. Uma solução SIEM lhe dará a opção de escolher a interface como global ou não, e se você deseja que as regras sejam aplicadas a um dispositivo de destino específico ou a todos os dispositivos da rede. Dessa forma, sua solução SIEM realizará automaticamente a ação desejada conforme sua configuração. Portanto, se a inteligência de ameaças de sua solução SIEM alertar você sobre uma solicitação de conexão de uma fonte maliciosa, em vez de alterar as configurações do firewall para bloquear esse endereço IP, você poderá bloqueá-lo automaticamente se tiver configurado adequadamente o fluxo de trabalho associado com esse alerta.
Uma solução SIEM unificada como o Log360 pode ajudá-lo a criar novas regras de firewall com sua opção de arrastar e soltar para criar fluxos de trabalho.
A Figura 1 lhe dará uma ideia de como suas regras de entrada podem ser otimizadas para impedir ameaças usando o Log360.
Figura 1: Otimizando regras de entrada usando o Log360
Da mesma forma, você pode usar a opção arrastar e soltar do Log360 para otimizar as regras de saída, conforme mostrado na figura abaixo.
Figura 2: Configurando regras de saída usando o Log360
Viu como é simples otimizar suas políticas de firewall com o Log360? Assim como você vê aqui para um firewall de roteador Cisco, em breve você poderá gerenciar as regras de firewall de outros roteadores, como Barracuda, Fortinet, Sophos e Palo Alto.
O ManageEngine Log360 também pode ajudá-lo a auditar seus logs de firewall e identificar vários ataques, como ataque de inundação de firewall, ataque de falsificação de firewall, ataque de firewall SYN e muito mais. Para avaliar completamente como o Log360 pode ajudar sua organização na batalha contra ataques cibernéticos, inscreva-se para uma demonstração personalizada. Obrigado por ler, pessoal!
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Hiranmayi Krishnan.