Plataformas SIEM: implementação, configuração e gestão

Abstract

As organizações estão cada vez mais dependentes dos meios tecnológicos e, dependendo do ambiente em que se inserem, lidam diariamente com informação sensível: Informações pessoais, dados de cartões de crédito, entre outros. Reter toda esta informação torna-as num alvo primordial a atacantes. Com a sofisticação dos ataques a aumentar, a segurança da periferia da infra-estrutura já não é suficiente. É necessário ter uma visão global sobre o que está a acontecer na rede a todo o momento. As plataformas SIEM (Security Information and Event Management) estão cada vez mais a emergir no mercado actual, surgindo não só como necessidade mas como uma obrigação. Têm como objectivo recolher logs dos dispositivos e aplicações, consolidandoos num único repositório e correlacionando a informação relevante de forma a detectar automaticamente comportamentos anómalos para que rapidamente sejam eliminadas as hipóteses de um ataque bem sucedido. A instalação destas plataformas requer trabalho a vários níveis: Desde a análise de requisitos em conjunto com o cliente para determinar quais os logs a recolher e como o fazer, à instalação de agentes que processem esses registos e ao desenvolvimento de agentes que trabalhem sobre logs desconhecidos ao SIEM, até à criação de mecanismos na solução que correlacionem esses eventos de forma a identificar ameaças. Este documento descreve a configuração e personalização de uma solução SIEM numa organização do sector financeiro que necessita também desta ferramenta para demonstrar que cumpre certas normas regulatórias, facto que torna o projecto mais complexo. Como tal, carece de especial atenção dado a rigidez das mesmas. Uma particularidade interessante neste trabalho é o facto de o cliente usar muitas aplicações desenvolvidas internamente cujos logs não são compreendidos nativamente pela plataforma. A sua inclusão, não só levanta questões sobre a forma de os processar, mas também como os utilizar para efeitos de monitorização.

Nowadays, organizations depend more and more on their technology and they deal with many confidential information: Personal data, credit card data, and so on. The storage of all this information makes this organizations a desirable target for attackers. These attacks are more powerful today, so periferic security of the core infrastructure is not sufficient anymore. Having a global vision of what’s happening at any moment is mandatory. SIEM solutions (Security Information and Event Management) are more often emerging in today’s market, not only as a need but also as an obligation. Their objectives are to collect logs from devices and applications, store them in a centralized repository and correlate all the relevant information to automatically detect abnormal behaviors and, therefore, quickly eliminate the possibilities of a well succeeded attack. Deploying solutions require work at a few levels: Analyzing customer requirements in order to determine which logs have to be collected and how they will be collected, configuring the collector agents, developing custom collector agents to process logs with an unknown format, and creating resources to monitoring and correlating the data. This report describes the configuration and customization of a SIEM solution in a financial organization, who needs this platform to be compliant with some standards. The customer have many applications, which were developed internally and, consequently, have a log format unknown to the SIEM solution. Including this data sources requires additional work, not only because there are no agents that natively processes them, but also because it’s necessary to include them at the correlation level with other known log sources.