Splunk para segurança
Upcoming SlideShare
Loading in...5
×
 

Splunk para segurança

on

  • 521 views

 

Statistics

Views

Total Views
521
Views on SlideShare
521
Embed Views
0

Actions

Likes
0
Downloads
10
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Splunk para segurança Splunk para segurança Document Transcript

  • guia de soluçõesSplunk para segurançaApoiando uma abordagem de Big-dada para Inteligênciade SegurançaOs novos desafios da segurança Splunk: inteligência de segurança e dadosO papel da segurança de TI está em expansão, impulsionado grandespor novos casos de uso de segurança em evolução, com Uma abordagem de segurança que aplica as análises do padrãoimplicações de risco para as empresas. Kevin Mandia, da de atividades dos usuários sobre os dados mais sigilosos daMandiant, estima que haja “milhares de empresa que possuem empresa, que está em sintonia com os riscos empresariais.malwares APT (Ameaça Persistente Avançada) ativos". Esses Quanto mais dados operacionais e de segurança foremmalwares são deixados através de ataques direcionados de coletados, melhor será a percepção dos riscos empresariais.adversários persistentes. A atual abordagem convencional Coletar e correlacionar os dados a partir das mais amplasfornece as principais razões para a proliferação das ameaças fontes possíveis é o primeiro passo para obter a visibilidade daà segurança: sua infraestrutura e melhorar a postura de segurança. • Em muitas empresas, as defesas de perímetro As análises baseadas em comportamento são o próximo permanecem o foco principal para a equipe de segurança passo em uma abordagem de inteligência de segurança. Em • Os sistemas baseados em assinaturas e regras usados cooperação com a empresa, identifique seus ativos digitais pelas equipes de segurança não conseguem acompanhar mais importantes. Eles poderiam ser armazenamentos a enxurrada de novos ataques de dados de informações de identificação pessoal (PII), propriedade intelectual, e-mails internos ou outras • As SIEMs se ajustam principalmente para coletar os informações retidas nos sistemas que sejam de alto valor dados de sistemas baseados em assinatura ou baseados para os invasores. O último passo é aplicar uma abordagem em regras "baseada em ator", para entender o modus operandi e • Incidentes de segurança identificados na ausência de os métodos dos adversários potenciais. As analistas de dados contextuais a partir de operações de TI inteligência de segurança devem se perguntar regularmente: • Os relatórios "enlatados" deram a impressão de que • Quem seria o meu alvo para acessar dados e sistemas pensamento e análise críticos não são necessários que contenham o maior valor de dados coletados? • Sistemas que não possuem escala e análises necessárias • Que métodos eu poderia usar para facilitar a propagação para mapear as ameaças potenciais contra grandes camuflada de malwares? conjuntos de dados por longos períodos • Como posso ter certeza de que as minhas comunicaçõesEssa mentalidade e abordagem de segurança convencionais de controle e comando não foram detectadas?não abrangem as "ameaças desconhecidas" de malwares mais • Que alterações devo fazer ao host para garantir quenovos e sofisticados que: meus malwares permaneçam residentes na empresa? • Aproveitam os dados de sites de mídia social que são • Como as anormalidades nos meus dados da máquina se compatíveis com engenharia social pareceriam no caso de uma tentativa de exfiltração de • Obtêm entrada em rede através de usuários finais e os e-mail ou uma transferência de PII para fora da empresa? pontos finais • Quais serviços de rede do host devem ser monitorados em busca de alterações? • Evitam a detecção (técnicas baixas e lentas redefinidas) • Quais comportamentos do malware podem ser • Usam padrões de ataque exclusivos que permitem que o diferenciados de dados de log com base em horário do malware seja disfarçado como um aplicativo "normal" dia, duração e local de origem?Com um conjunto muito mais amplo de possíveis vetores de Uma abordagem baseada em comportamento das ameaçasataque e ataques mais inovadores e direcionados provenientes persistentes avançadas usando análises de padrões permitede adversários persistentes, a quantidade e os tipos de uma abordagem avançada da detecção de ameaças, comodados analisados ​​ devem ser ampliados. Uma abordagem de recomendado pelo Security for Business Innovation Council.inteligência de segurança é aquela que observa as ameaças É importante observar a abordagem de dados grandesconhecidas, conforme informadas por sistemas baseados em para ameaças desconhecidas não substitui a abordagemassinatura e regras, e observa as ameaças desconhecidas, tradicional para monitorar ameaças conhecidas. Observarusando análises extensas sobre os comportamentos dos ameaças conhecidas usando elementos de uma abordagemusuários do sistema. As atividades normais dos usuários convencional de segurança ainda é uma exigência.precisam ser monitoradas para entender os padrões deacesso, uso e localização baseados em tempo.
  • g u i a d e so l u ç õ e s para se focar no momento preciso em que ocorreu um Abordagem Abordagem baseada em convencional riscos / APT evento de segurança Qualquer resultado de pesquisa pode ser transformado em um relatório para distribuição. Isso Cobertura de Proteger todos os Centrar os esforços nos ativos é especialmente útil para consultas ad-hoc de apoio a controles ativos de informações mais importantes iniciativas de conformidade, como PCI, SOX ou HIPAA. Controles preventivos Forense operacionalizada em tempo real Enfoque em baseados em Controles de detecção - análise controles assinatura de dados Após a conclusão de uma investigação forense, as pesquisas (AV, Firewalls, IPS) do Splunk podem ser salvas e monitoradas em tempo Baseada em real. Os alertas em tempo real podem ser direcionados Perspectiva Centrada em dados para os membros da equipe de segurança adequada para perímetro acompanhamento. A correlação nos dados do sistema por Meta de Relatório de registro conformidade Detecção de ameaças fornecedor ou tipos de dados é compatível com a linguagem de pesquisa fácil de usar do Splunk. Encontrar e Gerenciamento neutralizar malwares Panorama completo: procurar, A linguagem de pesquisa do Splunk suporta correlações encontrar e dissecar padrões de que podem gerar alertas baseados em uma combinação de de incidentes e/ou nós infectados ataque (proativo) (reativo) condições específicas, de padrões nos dados do sistema ou Desenvolver profundo quando for atingido um limite específico. conhecimento sobre o modus “O Splunk nos permite rapidamente consolidar Inteligência de Coletar informações operandi do ataque no contexto ameaças sobre o malware e correlacionar diferentes fontes de log, dos principais ativos e ambiente de TI da empresa permitindo monitoramento e cenários de resposta antes impraticáveis.” Invasores às vezes entram, mas Definição de Nenhum invasor entra sucesso são detectados rapidamente e o O Splunk permite que você veja informações em tempo na rede impacto (risco) é minimizado real a partir de dispositivos, sistemas operacionais, bancos de dados e aplicativos de segurança e em rede, em uma Figura 2 - Quando as ameaças persistentes avançadas vão para o mainstream, única cronologia, permitindo que as equipes de segurança Security for Business Innovation Council, 7/21/2011 detectem e compreendam rapidamente as implicações “As SIEMs baseadas em regras não são de ponta a ponta de um evento de segurança. O Splunk projetadas para detectar os ataques ou observa padrões difíceis de serem detectados de atividades padrões polimórficos de ameaças persistentes maliciosas nos dados da máquina, que os sistemas avançadas” de segurança tradicionais podem não registrar. Essa abordagem também pode fornecer os alicerces para uma Splunk: a plataforma para a inteligência de série de casos de uso de detecção de fraudes e roubos. segurança “Nossas equipes de segurança e fraude Embora o núcleo da plataforma Splunk Enterprise com suas detectam e investigam atividades fraudulentas rapidamente.” capacidades de dimensionamento, análises, virtualizações e emissão de alertas permita fazer perguntas baseadas em Métrica e visibilidade operacional cenários dos seus dados, o Splunk também é uma plataforma Entender os riscos empresariais requer uma abordagem para segurança de aplicativos (mais de trinta quando esse baseada em métricas para medir a eficácia ao longo do texto foi escrito). Elas estão disponíveis no Splunkbase.com. tempo. A linguagem de pesquisa integrada do Splunk possui Splunk App for Enterprise Security os comandos necessários para expressar os resultados das pesquisas em tabelas, gráficos e cronogramas em O Splunk App for Enterprise Security é compatível com painéis de controle de segurança. Os indicadores-chave de capacidades de SIEM e observa ameaças conhecidas, além de desempenho (KPIs) podem ser monitorados por unidade monitorar métricas de segurança importantes. Esse aplicativo empresarial, tipo de conformidade, localização e muito mais. funciona como uma "lente" nos seus dados de segurança. Ele foi projetado para os profissionais de segurança organizarem Correlações e alertas em tempo real os dados em domínios específicos de segurança, enquanto A correlação de informações a partir de diferentes conjuntos coletam dados automaticamente a partir de arquiteturas de dados pode reduzir os falsos positivos e oferecer tradicionais de segurança e oferece visualizações dos painéis percepções e contextos adicionais. Para correlações de longo de controle em tempo real. O aplicativo pode atuar como um prazo, o Splunk pode gravar eventos individuais do sistema ponto de partida para a detecção de ameaças desconhecidas, em arquivos internos também monitorados pelo Splunk e suportar correlação de identidades ou gerenciar uma equipe vencidos ao longo do tempo. Se o grupo certo de eventos de especialistas em segurança que analisam os incidentes for gravado no arquivo, antes do vencimento, a correlação diariamente. O Splunk App for Enterprise Security é uma parte é concluída e é emitido um alerta. O Splunk suporta um importante de uma estratégia de inteligência de segurança. amplo conjunto de critérios de criação de alertas, oferecendo supressões e limites de alertas baseados em regras. Usando o Splunk para segurança Investigação de segurança flexível e dimensionável Download gratuito O Splunk é dimensionável e flexível o suficiente para Baixe o Splunk gratuitamente. Você receberá uma licença pesquisar por terabytes de dados a partir de qualquer do Splunk Enterprise para 60 dias e poderá indexar até fonte de dados, como fontes de segurança tradicionais, 500 megabytes de dados por dia. Você poderá converter aplicativos personalizados e bancos de dados. O Splunk para uma licença permanente grátis ou comprar uma licença fornece automaticamente uma visualização cronológica de Enterprise, entrando em contato pelo sales@splunk.com. todos os dados coletados. Essa cronologia pode ser usada 250 Brannan St, San Francisco, CA, 94107 info@splunk.com | sales@splunk.com 866-438-7758 | 415-848-8400 www.splunkbase.com www.splunk.comCopyright © 2012 Splunk Inc. Todos os direitos reservados. Splunk Enterprise é protegido pelas leis de direitos autorais e de propriedade intelectualinternacionais e dos EUA. Splunk é uma marca registrada ou marca comercial da Splunk Inc. nos Estados Unidos e/ou outras jurisdições. Todas asoutras marcas e nomes aqui mencionados podem ser marcas comerciais de suas respectivas empresas. Nº do item: SG-Splunk-Security-106-A4