Elastic SIEM - Instalação e Configuração do LAB (Parte I)

SIEM significa Security Information and Event Management. As ferramentas SIEM geralmente fornecem dois resultados principais: relatórios e alertas. Uma ferramenta de apoio às equipes de segurança da informação em processos de auditoria, monitoramento e respostas a incidentes. Neste artigo, é abordado o uso do Elastic Stack para uso da funcionalidade de SIEM.

[ Hits: 6.595 ]

Por: Wagner Souza em 20/07/2022 | Blog: https://medium.com/@souzaw


Introdução



Fala pessoal! Mais um artigo para contribuir e fortalecer a comunidade Elastic e de segurança da informação. Dessa vez, atendendo a alguns pedidos, estarei apresentando os passos de instalação e configuração do Elastic SIEM.

Este é parte da solução Elastic Security a qual tem o objetivo de unificar recursos de segurança como análise e correlação de eventos com ações reativas em endpoints para mitigação de ameaças. A Elastic é uma empresa open source e oferece seus produtos de forma gratuita cobrando apenas serviços. Para mais informações, acesse o link Preços da Elastic.

Conceito de SIEM SIEM


significa Security Information and Event Management. As ferramentas SIEM geralmente fornecem dois resultados principais: relatórios e alertas. Os relatórios agregam e exibem incidentes e eventos relacionados à segurança, como atividades maliciosas e tentativas de login malsucedidas. Os alertas serão acionados se o mecanismo de análise da ferramenta detectar atividades que violam um conjunto de regras, sinalizando, consequentemente, um problema de segurança.

Funcionalidades

  • Agregação de dados: o gerenciamento de log agrega dados de muitas fontes, incluindo rede, segurança, servidores, bancos de dados, aplicativos, fornecendo a capacidade de consolidar os dados monitorados para ajudar a evitar a perda de eventos cruciais.
  • Correlação: procura atributos comuns e vincula eventos em pacotes significativos. Essa tecnologia fornece a capacidade de fazer uma variedade de técnicas de correlação para integrar diferentes fontes, para transformar dados em informações úteis.
  • Alerta: a análise automatizada de eventos correlacionados e produção de alertas, para informar aos destinatários sobre problemas imediatos. O alerta pode ser para um painel ou enviado por meio de canais de terceiros, como e-mail.
  • Dashboards: moldar dados de eventos e transformá-los em gráficos informativos para ajudar a ver padrões ou identificar atividades que estejam em não conformidade com os aspectos de segurança.
  • Conformidade: os aplicativos podem ser empregados para automatizar a coleta de dados de conformidade, produzindo relatórios que se adaptam aos processos existentes de segurança, governança e auditoria.
  • Retenção: empregando armazenamento de longo prazo de dados históricos para facilitar a correlação de dados ao longo do tempo e para fornecer a retenção necessária para os requisitos de conformidade. A retenção de dados de log de longo prazo é crítica em investigações forenses, pois é improvável que a descoberta de uma violação de rede seja no momento da ocorrência da violação.

    Próxima página

Páginas do artigo
   1. Introdução
   2. A Stack Elastic - Instalação e Configuração
Outros artigos deste autor

Montando Servidor de Internet com Ubuntu Server

Exploração de Falhas em Servidores FTP

Teste de Intrusão com Metasploit

Resetando senha de usuário root em sistemas Debian e Red Hat

Algoritmos em Shell Script

Leitura recomendada

Vazamento de informações vitais via "HP Operations Manager Perfd"

Configurando o IDS - Snort / Honeypot (parte 1)

Resetando senha de usuário root em sistemas Debian e Red Hat

KNOCK + SSH

Introdução ao ModSecurity

  
Comentários
[1] Comentário enviado por maurixnovatrento em 23/10/2022 - 11:12h


Bom artigo.

___________________________________________________________
Conhecimento não se Leva para o Túmulo.
https://github.com/mxnt10

[2] Comentário enviado por FranklinSD em 03/11/2022 - 06:36h

Thanks for the information, I will try to figure it out for more. Keep sharing such informative post keep suggesting such post.


https://www.tellpopeyes.onl/

[3] Comentário enviado por ElmiroDuarte em 06/12/2022 - 03:49h


Muito interessante o artigo, alguém já implementou a pilha ELK em docker e/ou kubernets ?

[4] Comentário enviado por ricardoolonca em 13/12/2022 - 18:18h

Parabenizo as pessoas que gastam tempo fazendo artigos. Isso é louvável. Só acho que, ao invés de criar um script e ensinar a executá-lo, sugiro fazer passo-a-passo explicando o que cada comando do script está fazendo. Isso por que conheço muita gente que pega receitas de bolo como esse script e, quando algum erro aparece, não sabem como investigar a causa. O objetivo do artigo deve ser a troca de conhecimento, muito embora o script seja uma mão na roda.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts