Sistemas de cibersegurança envolvem muitas tecnologias e podem ser construídos com várias opções, mas grandes empresas devem implementar uma solução de gerenciamento de informações e eventos de segurança (SIEM) para aumentar a segurança geral do sistema.

Um SIEM é uma solução de software projetada para documentar a atividade da rede, armazenar logs de segurança e descobrir eventos de segurança. A tecnologia é um componente central de muitos sistemas de operações de cibersegurança e incrivelmente útil no armazenamento de informações de rede e no gerenciamento de incidentes de segurança.

Como os sistemas de cibersegurança são altamente complexos, especialmente para empresas, as ferramentas podem ser difíceis de dimensionar, implementar e, eventualmente, implantar. Este guia passo a passo ajudará as equipes que estão considerando um novo SIEM a documentar adequadamente a implementação.

A implementação de cada empresa será diferente, mas essas etapas são cruciais para um desempenho eficaz após a implantação. As quatro áreas-chave a seguir são uma parte importante do planejamento de uma implementação totalmente integrada e do processo de transição.

Melhores práticas para implementação de SIEM

1. Definir projeto e requisitos

A primeira etapa para iniciar um processo de implementação de SIEM é planejar o cronograma do projeto. Isso envolve delinear o escopo do projeto junto com seus recursos informacionais, orçamentários e físicos necessários. Aqui, as empresas devem definir seus objetivos e identificar todos os recursos necessários.

A maioria das empresas tem objetivos semelhantes, todos relacionados à construção de um sistema de gerenciamento de segurança de rede centralizado no ponto de um novo SIEM. As empresas precisam definir regras básicas, identificar requisitos de conformidade e políticas necessárias e estruturar seu plano de gerenciamento de SIEM pós-implementação.

Os produtos SIEM exigem conexões com praticamente toda a sua infraestrutura de rede e ativos de software para um desempenho ideal, então definir fontes de log é um bom ponto de partida. Os logs vêm de diferentes locais em toda a rede da sua empresa.

Estes são alguns componentes básicos que a maioria das empresas inclui ao definir seus requisitos de SIEM e fontes de log:

2. Pesquisar produtos

A pesquisa de produtos é uma etapa que cada empresa aborda de forma única. Existem três principais recursos informacionais a considerar antes de tomar uma decisão final sobre um SIEM para sua empresa.

Análise de fornecedores — A análise de fornecedores é tipicamente conduzida de duas ou três maneiras. A primeira é através da utilização de informações dos próprios fornecedores. Vários recursos online, bem como os próprios motores de busca, podem ajudar a identificar rapidamente os principais fornecedores de SIEM. As empresas podem então entrar em contato com o fornecedor para obter mais informações relacionadas à sua situação específica.

Empresas de análise de software e testes empíricos também podem ser usados como recursos para avaliação. Provedores de serviços de pesquisa e teste produzem insights sobre mercados e ferramentas. Apenas tenha cautela, pois alguns desses provedores podem carecer de transparência em seus critérios de avaliação e classificação.

Avaliações de produtos — Sites de avaliação como o G2 são ótimos lugares para ler relatos em primeira mão de ferramentas SIEM sendo usadas no mundo real. As empresas podem facilmente visitar a categoria SIEM do G2 e ver os produtos variando em popularidade e satisfação. Também fornecemos classificações para recursos individuais e informações relacionadas ao papel do usuário, tamanho da empresa e setor.

Avaliação de casos de uso — Avaliar o caso de uso conforme se refere ao seu negócio provavelmente exigirá comunicação com os fornecedores na sua lista de potenciais produtos. Muitos deles fornecerão cenários específicos do setor, estudos de caso e demonstrações de produtos a seu pedido.

As equipes que cumprirem todos os três requisitos sairão com uma lista de produtos potenciais. Esta lista facilitará a escolha de uma solução com base em como cada ferramenta atenderia ou não aos requisitos que já delinearam e aos recursos que têm disponíveis.

3. Planejamento de implementação

Uma vez que um produto tenha sido selecionado, delineie uma série de procedimentos de implementação para garantir uma transição suave e eficaz. Estes são alguns componentes a incluir no seu plano.

Arquitetura de design — Diagrame todas as fontes de dados relacionadas a fontes de log e entradas de dados. Implante coletores de informações para garantir que todas as fontes de log estejam conectadas. Além da agregação de dados de todos os seus dispositivos conectados, os sistemas SIEM integram dados de ameaças e vulnerabilidades tanto internos quanto de terceiros. Sistemas de armazenamento e alerta também garantem funcionalidade adequada após a implantação.

Criar regras — Garanta que seus motores de correlação estejam funcionando com políticas básicas e determine as regras e políticas mais personalizadas a serem implementadas a longo prazo. Essas regras são destinadas a otimizar a documentação e o alerta sem prejudicar o desempenho da rede. Elas também devem ser personalizadas para atender a quaisquer requisitos de conformidade necessários previamente delineados.

Definir processo — Antes da implantação, coloque em prática um plano de transferência para transferir o controle da equipe de implementação para a equipe de operações de segurança ou gerenciamento de TI. Ajuste de acordo com as capacidades de pessoal da sua empresa para garantir que as equipes possam gerenciar efetivamente o SIEM no futuro.

Qualquer outro processo de gerenciamento a longo prazo também deve ser delineado. As empresas devem treinar a equipe no gerenciamento geral de SIEM, bem como nos processos de registro e planos de gerenciamento de dados da equipe. Pode ser necessário ajustar para evitar subdimensionamento, taxas de registro incontroláveis e problemas de capacidade de armazenamento.

4. Implantação e revisão

À medida que a implantação se torna uma realidade, algumas ações imediatas precisam ocorrer. Aqui está no que focar uma vez que um novo SIEM esteja operacionalizado.

Coleta — Examine os sistemas SIEM recentemente implementados para garantir que os dados sejam coletados e criptografados corretamente. Dependendo da sua solução, sistemas baseados em agentes devem ser examinados e monitorados durante a implantação preliminar para garantir que estejam coletando dados corretamente. Aqueles que implementam soluções sem agente devem simplesmente garantir que todos os pontos de monitoramento estejam se comunicando corretamente com o SIEM.

Armazenamento — Uma vez que as informações estejam sendo coletadas corretamente, as equipes devem garantir que todas as atividades, logs e eventos sejam armazenados corretamente. Empresas que usam sistemas de armazenamento externos devem garantir que as transferências e integrações sejam seguras e funcionais, que os bancos de dados estejam devidamente formatados e que as informações sejam consultáveis uma vez armazenadas.

Teste — Teste o sistema para visualizar dispositivos conectados e exibir aqueles planejados. Os usuários podem testar uma nova solução SIEM simulando eventos. Modelagem de ameaças e testes simulados devem ser conduzidos. Estes imitam ameaças de segurança do mundo real para verificar se todas as operações estão funcionais. As equipes também devem comparar dados sobre eventos correlacionados e severos com seus números pré-implementação.

Uma vez que os processos de teste e revisão sejam concluídos, as equipes de implementação devem transferir para as equipes de segurança para gerenciamento em tempo integral.

Dicas pós-implementação para gerenciamento de SIEM

As soluções SIEM exigem atualizações e monitoramento contínuos. As equipes devem continuar testando suas soluções contra os tipos mais recentes de ataques. Qualquer atividade para testar e reduzir falsos positivos também é prudente.

As equipes devem manter seu SIEM conectado a fontes de dados de ameaças, como feeds de inteligência de ameaças e honeypots, para garantir que estejam preparadas para identificar todos os tipos de ameaças emergentes, mesmo aquelas não presentes durante a implementação.

Ajustes e atualizações são inevitáveis, e as políticas provavelmente evoluirão. O processo de gerenciamento é tão complicado quanto o processo de implementação. Se você seguir estas etapas e monitorar continuamente o desempenho do SIEM, sua rede, infraestrutura de TI e negócios como um todo estarão em melhor situação.