O seu SIEM está pronto para encarar o futuro? Ou é hora de encarar uma grande mudança ou ao menos realizar uma série de ajustes na solução? Veja neste artigo como abordar o assessment do SIEM e realizar esses updates.

As soluções de SIEM estão evoluindo para contar com as vantagens de Machine Learning; integração com outros controles de segurança corporativos; identificação de atividade suspeita envolvendo uma gama cada vez mais ampla de hosts, serviços, aplicações e redes. Ainda que manter o compasso com essas novidades possa parecer esforço desperdiçado, existem passos que você pode tomar hoje para garantir que sua arquitetura de SIEM esteja preparada para extrair o melhor das soluções do futuro. Melhor do que isso, esses passos podem melhorar a performance do seu SIEM hoje.

Considere seguir as seguintes dicas se você ainda não segue:

 

Melhora nos Dados

Melhore a qualidade dos dados que são fornecidos ao SIEM. Se os inputs recebidos são incompletos, sem precisão ou lentos, as decisões tomadas pelo SIEM vão ser negativamente afetadas. Garanta que todas as fontes de logs estejam reportando devidamente ao SIEM, e que cada uma esteja registrando os detalhes necessários para cada controle do SIEM. Corrija as deficiências que encontrar e implemente agentes do SIEM nos hosts que sejam necessários para coletar informações adicionais. Por fim, garanta que as datas e horários estejam sincronizados ao longo de todos os dados correlacionados.

 

Informação Necessária

Garanta que o SIEM possua as informações necessárias para compreender o significado dos eventos e correlacione os eventos uns com os outros. Ter contexto é absolutamente vital nessa tarefa. A arquitetura de SIEM e as pessoas usando-a devem possuir conhecimentos específicos sobre o negócio da empresa, a fim de prover esse contexto. Por exemplo, qual a proposta de funcionalidade de cada host? Quais serviços esse host fornece? Quais vulnerabilidades ele possui? Como ele deve ser usado? COmo ele deve interagir com outros hosts? Existem muitas outras questões além dessas que o SIEM e os analistas de SIEM devem ser capazes de responder.

 

Arquitetura de SIEM Customizada

Customize o SIEM de forma que ele suporte serviços e aplicações internas, que precisam ter seus eventos monitorados. Por exemplo, sua empresa pode ter suas próprias aplicações de negócio que usam sua base de dados de clientes. É importante monitorar os eventos de segurança envolvendo essas aplicações, contudo, o SIEM não vai entender se você não customizá-lo. Existe uma grande diferença entre o SIEM enxergar um evento e efetivamente entender esse evento, alertando e iniciando um processo de resposta a incidentes.

 

Melhorias no SIEM

Reduza os eventos de falso-positivo e errados do SIEM ao realizar melhoras na arquitetura. Por exemplo, ao invés de ignorar e suprimir alertas que não são importantes para seu ambiente, desabilite esses alertas e simplesmente mantenha logs dessas informações. Ajuste os pontos de configuração e regras do SIEM para melhor representar as características únicas de seu ambiente. Determine sobre quais circunstâncias eventos devem ser mantidos como logs ou alertas gerados, ou quando ações automáticas devem ser conduzidas para impedir a continuidade de atividade maliciosa.

Se você trabalhar para reduzir os falso-positivo e erros do SIEM, você estará melhor preparado para o futuro, que terá ampla participação de tecnologias de machine-learning.