Buscar

Conceitos e Definições SIEM

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Prévia do material em texto

Informações sobre segurança e gerenciamento de 
eventos 
Origem: Wikipédia, a enciclopédia livre 
Segurança da Informação e Gestão de Eventos (SIEM) é um termo para produtos de software e 
serviços que combinem a gestão de informações de segurança (SIM) e gerente de eventos de 
segurança (SEM). Tecnologia SIEM fornece uma análise em tempo real de alertas de segurança 
gerados por hardware e aplicativos de rede. SIEM é vendido como software, appliances e serviços 
gerenciados, e também são usados para registrar dados de segurança e gerar relatórios para fins de 
conformidade. [1] 
As siglas SEM, SIM e SIEM têm sido por vezes utilizados alternadamente. [ quando? ] O segmento de 
gestão de segurança que lida com monitoramento em tempo real, a correlação de eventos, 
notificações e exibições do console é comumente conhecido como gerenciamento de eventos de 
segurança (SEM). A segunda área fornece armazenamento de longo prazo, análise e comunicação 
de dados de registro e é conhecido como Gerenciamento de Informações de Segurança 
(SIM). [2] Tal como acontece com muitos significados e definições das capacidades em evolução 
requisitos moldar continuamente derivados de categorias de produtos SIEM. A necessidade de 
visibilidade centric voz ou vSIEM (informações de segurança de voz e gerenciamento de eventos) é 
um exemplo recente dessa evolução. 
O termo Information Security Event Management (SIEM), cunhado por Mark Nicolett e Amrit 
Williams do Gartner, em 2005, [3] descreve as capacidades do produto de recolha, análise e 
apresentação de informações a partir de dispositivos de rede e segurança, aplicações de 
gerenciamento de identidade e acesso, vulnerabilidade gestão e ferramentas de conformidade 
políticas; externos e, sistema operacional, banco de dados e logs de aplicativos de ameaças de 
dados. Um foco principal é monitorar e ajudar a gerir os privilégios de usuário e de serviços, serviços 
de diretório e outras alterações na configuração do sistema;., Bem como proporcionar a auditoria de 
registro e análise e resposta a incidentes. 
A partir de janeiro de 2014, Mosaic Security Research identificou 86 produtos SIEM. 
Capacidades 
 Os dados Aggregation: armazena dados agregados de gestão de muitas fontes, incluindo 
redes, segurança, servidores, bancos de dados, aplicações, fornecendo a capacidade de 
consolidar dados monitorados para ajudar a evitar a perda de eventos cruciais. 
 Correlação: procura por atributos comuns, e liga os eventos juntos em feixes 
significativas. Esta tecnologia proporciona a capacidade para realizar uma variedade de 
técnicas de correlação para integrar diferentes fontes, de modo a transformar os dados em 
informação útil. Correlação é tipicamente uma função da parte de Gestão de eventos de 
segurança de uma solução completa SIEM [5] 
 Alerta: a análise automatizada de eventos correlacionados e produção de alertas, para notificar 
os destinatários de questões imediatas. Alertando pode ser para um painel, ou enviados através 
de canais de terceiros, como e-mail. 
 Dashboards:. Ferramentas pode levar dados do evento e transformá-lo em gráficos 
informativos para ajudar a ver padrões, ou identificação de atividade que não está formando um 
padrão normal [6] 
 Compliance:. Aplicativos podem ser utilizados para automatizar a coleta de dados de 
conformidade, produzindo relatórios que se adaptam aos processos de segurança, governança 
e auditoria existentes [7] 
 Retenção: empregando o armazenamento a longo prazo de dados históricos para facilitar a 
correlação de dados ao longo do tempo, e para fornecer a retenção necessária para os 
requisitos de conformidade. Retenção de dados de log de longo prazo é crítica em 
investigações forenses, pois é pouco provável que a descoberta de uma quebra de rede será, 
no momento da ruptura ocorrem. [8] 
 Análise Forense: A capacidade de pesquisar em logs em diferentes nós e períodos de tempo 
com base em critérios específicos. Isso reduz ter que agregar informações de log em sua 
cabeça ou ter que pesquisar através de milhares e milhares de registros. [9]