Um monitoramento de segurança eficiente, de qualquer ambiente, tem como peça fundamental o Gerenciamento de Logs. Esta prática no entanto pode apoiar outras áreas além da Segurança da Informação, tais como Infraestrutura, Aplicações, Auditoria e Compliance. É preciso porém saber o que monitorar, coletar logs que não trarão nenhum valor torna o Gerenciamento de Logs caro e difícil de executar. 

Apresentamos a seguir uma lista com alguns logs importantes para apoiar a segurança, mas que podem ser utilizados também por outras áreas:

Antimalware software: Esses logs podem indicar detecção de malwares, tentativas de infecção, arquivos em quarentena, quando os últimos scans de arquivo aconteceram, quando assinaturas de antivírus foram atualizadas e quando ocorreram os upgrades.

Aplicações: Os logs podem incluir mudanças de conta, tentativas de autenticação, atividades do cliente e do servidor, mudanças de configuração.

Servidores de autenticação: Servidores tipicamente armazenam logs de cada tentativa de autenticação e mostram o ID do usuário, sistema de destino ou aplicação, horário e dia, detalhes de sucesso/falha.

Fontes específicas de nuvem: Novas origens de logs específicos de ambientes em nuvem como Amazon Web Services e Azure devem ser considerados para coleta.

Firewalls: Os logs detalhados e informativos dos firewalls podem revelar quais atividades foram bloqueadas de acordo com as políticas de segurança.

Detecção e prevenção de intrusão (IPS): Esses sistemas gravam e detalham informações sobre comportamentos suspeitos e ataques detectados, assim como as ações tomadas para interromper a atividade maliciosa em progresso.

Servidores de Controles de Network Access: Esses logs fornecem uma fonte útil de informação tanto sobre os sucessos/permissões quanto das conexões malsucedidas e em quarentena.

VPN’s: Logs de VPN gravam as tentativas de conexão bem e mal sucedidas, horário e dia de conexões e desconexões, assim como os tipos e a quantidade de dados enviados e recebidos durante a sessão.

Software de Gerenciamento de Vulnerabilidade: Esses logs registram informações como configuração, updates em falta, vulnerabilidades identificadas e downloads de patch.

Firewall de Aplicações WEB: Esse tipo de firewall gera “deny logs” que identificam tentativas bloqueadas, úteis na identificação de tentativas de ataque que incluem a aplicação como vetor.

Proxies WEB: Esses logs registram a atividade do usuário e as URL’s acessadas.

 

Recomendação Real Protect

Para realizar a gestão eficiente dos logs, com qualidade de performance e possibilidade de correlacionamento dos dados, recomendamos a utilização da plataforma Splunk – que coleta, classifica e aproveita os dados de máquina (logs) gerados por sistemas de TI e infraestrutura, sejam eles físicos, virtuais ou em nuvem.

Todas as aplicações, sistemas, ativos de rede, segurança geram dados a cada milissegundo, todos os dias. Os dados acima citados são um recurso incrivelmente valioso, mas as empresas raramente extraem deles o valor de que precisam. As soluções existentes para análise, gerenciamento e monitoramento de dados simplesmente não foram projetadas para esse tipo de dados.

Pense no gerenciamento de informações. Os sistemas de gerenciamento de data warehouses e bancos de dados relacionais são baseados em esquemas rígidos e projetados para dados estruturados e consistentes. Eles fornecem análise de histórico, mas não visibilidade em tempo real. Nessa categoria encontramos as soluções comumente utilizadas para essas tarefas.

O Splunk foi desenvolvido para resolver todos os desafios de máquinas (logs), coletar, indexar e aproveitar esses dados não estruturados em correlações baseadas em tempo. Encontrar e corrigir problemas, seguir a trilha de um invasor, emitir relatórios de conformidade e analisar o comportamento dos clientes são atividades que exigem uma visualização completa.

Para conhecer mais sobre o Splunk entre em contato conosco e solicite uma demonstração atravrés de comercial@realprotect.net

splunkaos