2. O Sistema SIEM
• Os sistemas de Monitorização e Gestão de Eventos de Segurança de
Informação, designados “Security information and event management
(SIEM)”, são tecnologias que permitem detectar ameaças e responder a
incidentes de segurança de informação, através da recolha em tempo-real
de alertas e análise do histórico de eventos.
• Os SIEM capturam eventos com origem numa gama ampla de fontes de
informação, como equipamentos de rede e segurança, sensores de
análise de tráfego, servidores, aplicações e fontes externas de
identificação de ameaças.
• Estes sistemas também geram relatórios de conformidade e apoiam
investigação de incidentes através da análise de dados históricos destas
fontes.
• As capacidades centrais dos SIEM são a captura e registo de eventos, e a
capacidade de correlacionar e analisar eventos de fontes distintas,
detectando evidências de ameaças de segurança.
3. Porquê um SIEM?
Porque fornece Inteligência de Segurança
• Consciência Situacional: Monitora-Detecta-Isola
• Descarta falsos positivos
• Avalia o impacto de um ataque
• Aprende colaborativamente sobre APTs (Advanced
Persistent Threat )
Porque Unifica a gestão de segurança
Centraliza informações
Integra ferramentas de detecção de ameaças
Mitigação e Remediação de Intrusões
Relatórios de Conformidade
8. Exemplo de Deteção de Ataque
10
Attack
Attacker
X.X.X.X
Accepted HTTP packet
from X.X.X.X to Y.Y.Y.Y
Attack: WEB-IIS multiple
decode attempt
Vulnerability: IIS Remote
Command Execution
Alert: Low
reputation IPOTX
Alert: IIS attack
detected
Target
Y.Y.Y.Y
9. Deteção & Avaliação de Risco
• OTX
• Snort NIDS
• Correlação Lógica
• Avaliação de Vulnerabilidades
• Descoberta de Activos
Correlação de logs de Firewalls:
• Plugin para Cisco ASA
• Network Scan detection
Correlação de Eventos Windows:
• Integração com o OSSEC
• Deteção de ataques de Força
Bruta (Brute force attacks)
11
Casos de Utilização (Use Cases) do OSSIM
16. Inok Consulting
Alameda dos Oceanos Lote 1.02.1.1 – T31
Parque das Nações
1990-207 Lisboa , Portugal
T. (+351) 217 998 060
Rua Ferraz Bomboco, Número 50-52
Bairro Alvalade Município da Maianga
Luanda – Angola
www.inokconsulting.com
www.inokconsulting.com