Logs são registros de tudo o que está acontecendo dentro do ambiente de TI da sua organização. Normalmente, são uma série de mensagens com registro de data e hora que fornecem informações em primeira mão sobre todas as atividades em sua rede.
Cada dispositivo e aplicação na rede gera dados de log, junto com dados NetFlow, que são usados para monitorar o tráfego de rede. Os logs são a principal fonte de entrada para as soluções de informações de segurança e gerenciamento de eventos (SIEM). Uma solução SIEM, em sua essência, é uma plataforma de gerenciamento de logs que também realiza análises e alertas de segurança, mitigação de riscos internos, automação de respostas, busca de ameaças e gerenciamento de conformidade.
O que é gerenciamento de logs?
O gerenciamento de log envolve a coleta, armazenamento, normalização e análise de logs para gerar relatórios e alertas. O gerenciamento de log garante que os dados de atividade de rede ocultos nos logs sejam convertidos em informações de segurança significativas e acionáveis. O gerenciamento de log é um pré-requisito para os administradores de rede e segurança monitorarem e protegerem a rede. O log do SIEM combina logs de eventos com informações contextuais sobre usuários, ativos, ameaças e vulnerabilidades e os processa usando algoritmos, regras e estatísticas.
O gerenciamento de registros é uma tarefa desafiadora. Para coletar e processar dados de log em tempo real, independentemente do volume de dados de log e do número de dispositivos na rede, as organizações precisam de um mecanismo robusto de gerenciamento de log. Em suma, o gerenciamento de log precisa ser flexível o suficiente para acomodar todos os dispositivos e aplicações de rede.
Coleta de logs
A coleta é a primeira etapa no gerenciamento de logs. Uma solução SIEM coleta logs e eventos de um conjunto diversificado de sistemas na rede e os agrega em um só lugar. Os logs são geralmente coletados de estações de trabalho, servidores, controladores de domínio, dispositivos de rede, IDSs, IPSs, soluções de segurança de endpoint, bancos de dados, servidores web, infraestrutura de nuvem pública e plataformas de nuvem.
Cada rede tem diferentes sistemas e ambientes que geram vários formatos de log, como logs de eventos, syslogs e outros logs de aplicações. Os coletores de log precisam ser flexíveis o suficiente para acomodar todos os dispositivos e aplicações de rede.
Os logs podem ser coletados por meio de:
- Coleta de log baseada em agente.
- Coleta de logs sem agente.
Coleta de log baseada em agente
A coleta de log baseada em agente requer a implantação de um agente nos dispositivos que geram logs. O agente não apenas coleta e filtra os logs, mas também os analisa e os converte em outros formatos antes de encaminhá-los ao servidor de coleta de logs.
Windows, Unix e a maioria dos outros sistemas criam logs em áreas do sistema de arquivos que requerem privilégios de alto nível para visualizar, girar ou realocar. Os agentes foram desenvolvidos para coletar informações relacionadas à segurança do sistema local e, em seguida, convertê-las em um formato adequado para transmissão pela rede a um coletor central. Os agentes são projetados para serem executados em segundo plano com privilégios suficientes para monitorar e gerenciar o subsistema de log, utilizando apenas os recursos do sistema necessários para coletar, processar, filtrar e enviar os logs para o host SIEM com sobrecarga mínima.
A coleta de log baseada em agente é útil para coleta de logs em WANs e por meio de firewalls. Também ajuda na coleta de logs de dispositivos que residem nas zonas restritas de sua rede, como DMZs. O uso de um agente para coleta de log reduz a utilização da CPU do servidor e, portanto, fornece mais controle sobre a taxa de eventos por segundo. Windows Server, NXLog e OSSEC são alguns dos agentes populares usados para coleta de logs.
O agente pode ser implantado em qualquer servidor da rede ou sub-rede e em todos os tipos de sistemas operacionais. Ele é instalado como um serviço nesse servidor. O agente coleta os logs remotamente, pré-processa os logs e os transfere para o servidor em tempo real e sem interrupção.
Como funciona um agente:
-
Depois que um agente é instalado em um dispositivo, ele obtém acesso às atividades internas do dispositivo e obtém os dados de log dele.
-
Depois que os dados de log são coletados, o agente os pré-processa e realiza a extração de campo. Em seguida, compacta os dados de log e os envia para o servidor SIEM com segurança.
-
O servidor irá então indexar os logs e prosseguir.
Vantagens da coleta de log baseada em agente:
-
A transmissão de log é segura e confiável, pois os agentes podem se comunicar com o servidor de log centralizado usando TLS e SSL.
-
Os dados de log geralmente são enviados em lotes compactados e armazenados em buffer, portanto, nenhum evento é perdido na transmissão.
-
Os logs são processados e enviados ao SIEM em tempo real, de forma rápida e eficiente.
-
A filtragem de log é muito melhor na coleta de log baseada em agente.
-
Ajuda a atender aos vários requisitos de conformidade.
-
Os agentes podem coletar logs de várias plataformas, como Windows, Linux e outros sistemas, e registrá-los em um formato utilizável.
-
Devido aos filtros de log, os dados de log desnecessários são removidos e os dados de log agregados são compactos. Portanto, os agentes ocupam menos largura de banda e recursos.
Coleta de logs sem agente
Nas soluções SIEM, a coleta de log sem agente é o método predominante usado para coletar logs. Em ambientes de nuvem dinâmicos, a auditoria sem agente é fundamental para reduzir custos, desbloquear visibilidade e acelerar a velocidade de implantação.
Existem dispositivos incorporados, como roteadores, impressoras, switches e firewalls nos quais a instalação de software de terceiros não é suportada. Em sistemas altamente regulamentados, a instalação de software adicional não é permitida. Nesses casos, uma abordagem de coleta de log sem agente pode ser implementada, permitindo que os dispositivos enviem logs para um coletor de dados remoto. Um fator que força a implantação de agentes para coleta de logs é a indisponibilidade de uma conexão de rede estabelecida.
Na coleta de log sem agente, os dados de log gerados pelos dispositivos são enviados automaticamente para um servidor SIEM de forma segura, eliminando a necessidade de um agente adicional para coletar os logs, o que reduz a carga nos dispositivos.
Como funciona a coleta de logs sem agente:
-
Um cliente, host, sistema ou dispositivo já instalou software nele ou, na maioria dos casos, já possui a programação necessária para coletar todos os dados necessários. Este software ou programação é usado para coletar os dados de registro.
-
Os dados de log são encaminhados usando protocolos nativos, como SNMP traps, WECS, WMI e syslogs.
-
O host gerador de log pode transmitir diretamente seus logs para o SIEM ou pode haver um servidor de log intermediário envolvido, como um servidor syslog.
Vantagens da coleta de logs sem agente:
-
É mais fácil e rápido de implantar, pois não envolve nenhuma instalação de software.
- Menor custo de manutenção porque não há atualizações de software ou versão necessárias, pois não há agente.
-
Como não há instalação de software, manutenção ou operações necessárias, a coleta de log sem agente pode reduzir significativamente os esforços de administração.
Conclusão
Entre a coleta de log baseada em agente ou sem agente, nenhuma é melhor que a outra. A escolha deve ser feita considerando as necessidades da organização. Portanto, é melhor ter uma solução SIEM que ofereça métodos de coleta de log baseados em agente e sem agente.
O Log360 é sua solução completa para todos os desafios de gerenciamento de log e segurança de rede. É uma solução integrada que combina EventLog Analyzer, ADAudit Plus e Cloud Security Plus em um único console para ajudá-lo a gerenciar sua segurança de rede, auditoria do Active Directory e gerenciamento de nuvem pública. O EventLog Analyzer foi projetado para oferecer suporte a mecanismos de coleta de log baseados em agente e sem agente para atender a todos os dispositivos e aplicações na rede. Confira nosso site e saiba mais sobre as nossas aplicações de SIEM.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Amritha Saravanan.