Sistemas de Gerenciamento de Eventos e Informações de Segurança – SIEM

SIEM representation.
SIEM graphic from HP

Inicialmente ferramentas de SIEM (Security Information Event Management) foram projetadas para gerenciamento de ameaças externas contra a rede e aos sistemas através de análise em tempo real de eventos de apoio à resposta a incidentes (Gestão de Eventos de Segurança). Haviam também os produtos que ofereciam o armazenamento a longo prazo, a análise histórica e de tendências em um grande banco de dados de registros para apoiar atividades forenses (Gerenciamento de Informações de Segurança). Definição de TechBudda em 2007.

Sistemas de Gerenciamento de Eventos e Informações de Segurança ou soluções de SIEM fornecem uma análise em tempo real de alertas de segurança gerados por hardware e aplicativos de rede para que as empresas possam responder a ataques rápidos e organizar a grande quantidade de dados de registro(logs). É, essencialmente, nada mais do que uma camada de gerenciamento acima de seus sistemas existentes e controles de segurança que se conecta e unifica as informações contidas nos seus sistemas existentes permitindo que eles sejam analisados e cruzados a partir de uma única interface. SIEM é eficaz em ajudar você a fazer detecções eficazes, análises e respostas em suas operações de segurança.

AlienVault lançou um grande recurso explicando o que é SIEM para iniciantes.

Sistemas SIEM coletam registros e outros documentos relacionados com a segurança para análise, uma vez que a maioria dos sistemas SIEM implanta vários agentes de coleta de forma hierárquica para reunir eventos relacionados à segurança de dispositivos de usuário final(endpoints), servidores, equipamentos de rede e equipamentos de segurança, como firewalls, antivírus ou sistemas de prevenção de intrusão. Os coletores encaminham os eventos para um console de gerenciamento centralizado, que realiza inspeções e gera alerta contra anomalias. Para permitir que o sistema identifique esses eventos anômalos, é importante que o administrador do SIEM primeiro crie um perfil do sistema em condições normais de operação.

Sistemas SIEM normalmente são caros para implantar e complexos para operar e gerenciar e requerem um alto nível de conhecimento técnico. Fornecedores de SIEM exigem treinamento extensivo e certificação dos parceiros revendedores. Para implantar SIEM em sua empresa, conte com os seguintes revendedores em seu país.

O Quadrante Mágico do Gartner para Sistemas de Gerenciamento de Eventos e Informações de Segurança (SIEM) publicado em Junho de 2014 tem a IBM Security, HP, Splunk, Mcafee e LogRhythm como líderes

Abaixo o Quadrante Mágico 2014 do Gartner para Sistemas de Gerenciamento de Eventos e Informações de Segurança (SIEM).