SlideShare a Scribd company logo
1 of 23
Download to read offline
INSTITUTO TECNOLÓGICO DE AERONÁUTICA



 UMA ARQUITETURA ESTRUTURADA SEGURA
      NA CONSTRUÇÃO DE SISTEMAS
CENTRALIZADOS DE REGISTROS DE EVENTOS


Aluno: Bruno Taboada
Especialização em Tecnologia da Informação Segurança da Informação
AGENDA
1. Motivação

2. Justificativa

3. O problema

4. Objetivo

5. Arquitetura
6. Experimento
7. Resultados
8. Conclusão
MOTIVAÇÃO
•Centralização dos registros de eventos de vários formatos e de
diferentes fontes em um modelo único e estruturado.

•Ferramentas capazes de identificar automaticamente o comportamento
suspeito e gerar relatórios e maneiras de apresentação correlacionadas
dos eventos contidos nos registros.

•Sistemas capazes de receber massivas entradas de registros de
eventos concorrentemente e segura.
JUSTIFICATIVA
                                  Indústrias representadas

               Outras                                                           23%


          Financeiras                                                     19%


             Governo                                                18%


            Educação                                    10%


               Saúde                             8%


   Telecomunicações                         7%


              Energia                  5%


Engenharia/Construção             4%


               Varejo        3%


          Manufatura         3%


                        0%        5%                  10%     15%         20%         25%
JUSTIFICATIVA
                  Tamanho das Organizações



            8%                      Empresas (2000 ou mais empregados
                                    do mesmo país)
                         25%
      12%                           Multinacionais (2000 ou mais
                                    empregados)

                                    500 - 1999 empregados


    17%                             100 a 499 empregados

                          20%       Menos de 100 empregados


            18%                     Até 200
JUSTIFICATIVA
                       Desafios na gestão de logs
                      Mais Desafiador     Desafio moderado
     Normalização e categorização da
                                                40%                35%
               informação
                             Pesquisar      29%                44%

Usar os Logs para relatórios e análises     28%                44%
      Gestão de Logs, incluindo a
                                           27%               34%
    manutenção da cadeia de custódia
      Usando Logs para conformidade       17%          35%

       Armazenamento /arquivamento        17%         28%

                      Coletas de Logs     16%         30%
          Usar Logs para operações e
                                          16%           44%
                 manutenção
O PROBLEMA




             =
OBJETIVO
                                  Problemas:
• Normalização das entradas dos registros de eventos.

• Suporte à pesquisa e à análise dos dados dos registros de eventos com o objetivo
de identificar comportamentos suspeitos.

                                     Como:

• Arquitetura segura com componentes presentes em aplicações web tradicionais.

• A construção de um protótipo de um sistema centralizado de registros de eventos.

• Cenários com registros de eventos contendo ataques reais.

• Experimento controlado.
ARQUITETURA
                                     ACCORSI (2009)

Transmissão:

Autenticação de origem: o host que recebe as mensagens de registro de eventos deve
garantir que as mensagens foram enviadas por um dispositivo autorizado.
Confidencialidade da mensagem: as mensagens de registro de eventos devem
permanecer confidenciais durante a transmissão.
Integridade da mensagem: as mensagens de registro de eventos não podem ser
modificadas durante a transmissão.
Singularidade da mensagem: uma mensagem de registro de eventos deve ser gravada
apenas uma vez.
Entrega confiável: mensagens de registro de eventos enviadas por um dispositivo para um
host remoto devem ter a entrega garantida. Isso está relacionado ao protocolo de
transporte utilizado.
ARQUITETURA
                                     ACCORSI (2009)

 Armazenamento:

• Prestação de contas da entrada: entradas de registro devem incluir informações relativas
ao assunto, que são acrescentadas à entrada para formar uma trilha de auditoria.

• Integridade da entrada: trilhas de auditoria, uma vez gravadas, não podem ser alteradas
(alteradas,excluídas ou anexadas).

• Confidencialidade da entrada: entradas não são armazenadas em texto claro.
ARQUITETURA

• Enterprise Service Bus.
• Um gateway HTTP.
• Um serviço assíncrono.
• SGBD.
• SqlRouter.
• Parsers.
ARQUITETURA
Transmissão:
                 Chave                                              Valor
                Resource                                  Nome da fonte do registro
                 logEntry                               Entrada do registro de eventos
Armazenamento:
    Nome                                                                        Tipo
      Id       Identificador único gerado pelo SGBD.                            Identity
     Who       “Quem”.Ex: um endereço IP ou nome de um usuário.                 String

     What      “O quê”. Ex: um pedido de sincronização ou ação de um usuário.   String

     When      “Quando”. Ex: uma data e hora de quando ocorreu o evento.        String

    Where      “Onde”. Ex: Um endereço IP de destino.                           String
   Timestamp   Data e hora registradas no momento do cadastro                   DateTime

     Order     Data e hora no tipo datetime do banco de dados convertido a partir DateTime
               de when.

    Source     Nome da fonte de registro.                                       String
ARQUITETURA
EXPERIMENTAÇÃO
                                        Cenário #

 Descrição:   Objetivo (Ataques).

                  Teste com o sistema                       Teste sem o sistema

    P1                     *                                        *

    P2                     *                                        *

    P3                     *                                        *

  Ataque                                       Padrão do ataque
EXPERIMENTAÇÃO
 Nº     Ataque                               Descrição                         Nível de força
                       Partindo de um único endereço de IP checando um
                       intervalo de portas sequencialmente a um único alvo
 A1   Port Scanner 1                                                                 1
                       passando por um firewall.

                       Partindo de um único endereço de IP checando um
                       intervalo de portas sequencialmente a três alvos
 A2   Port Scanner 2                                                                 2
                       passando por três firewalls, cada alvo protegido por
                       um firewall.

                       Partindo de um único endereço de IP checando
                       portas arbitrárias a alvos arbitrários partindo de
 A3   Port Scanner 3   portas aleatórias passando por três firewalls e               3
                       realizando conexões normais com a intenção de
                       mascarar o ataque.
                       Partindo de endereços IP arbitrários checando alvos
                       arbitrários em portas arbitrárias em tempos
                       diferentes passando por três firewalls e realizando
 A4   Port Scanner 4
                       conexões normais com a intenção de mascarar o                 4

                       ataque, sendo que os alvos estão protegidos por esses
                       firewalls.
EXPERIMENTAÇÃO
                            O respondente deve possuir conhecimentos sobre os ataques elaborados e saber
 Legenda   Descrição        como identificá-los.
               Propósito    Saber se foi possível identificar o ataque e o grau de dificuldade de identificação.




                            Foi possível identificar o ataque?                           ( ) Sim ( ) Não

   P1          Pergunta 1


                            Grau de dificuldade em identificar os                            1 a 10
                            ataques?
   P2          Pergunta 2




                            Foi   possível   contar   o   número    de                   ( ) Sim ( ) Não
                            tentativas?
   P3          Pergunta 3
EXPERIMENTAÇÃO
RESULTADOS
                            Foi possível identificar o ataque?



  Sumário      Cenário #1   Cenário #2   Cenário #3   Cenário #4   Cenário #5   Cenário #6   Cenário #7




 Teste com o
                   S            S            S            S            S            S            S
  sistema


 Teste sem o
                   S            S            S            N            N            N            N
  sistema
RESULTADOS
                   Grau de dificuldade em identificar os ataques?

  Sumário
     da        Cenário #1   Cenário #2   Cenário #3 Cenário #4 Cenário #5   Cenário #6   Cenário #7
 Pontuação



 Teste com o
                   1            1            1          1          3            4            5
  sistema




 Teste sem o
                   1            3            5          7          7            9           10
  sistema
RESULTADOS
                       Foi possível contar o número de tentativas?




  Sumário      Cenário #1   Cenário #2 Cenário #3   Cenário #4   Cenário #5   Cenário #6   Cenário #7




 Teste com o
                   S            S          S            S            S            S            S
  sistema



 Teste sem o
                   S            S          N            N            N            N            N
  sistema
RESULTADOS
                                    Resultados
                    1900ral
                    1900ral
                    1900ral
                    1900ral
                    1900ral
 Notas




                    1900ral
                    1900ral
                    1900ral
                    1900ral
                    1900ral
                    1900ral
                               #1     #2     #3      #4     #5     #6     #7
         Teste com o protótipo 1900ra 1900ra 1900ra 1900ra 1900ra 1900ra 1900ra
         Teste sem o protótipo 1900ra 1900ra 1900ra 1900ra 1900ra 1900ra 1900ra
DISCUSSÕES
                                   Sem o sistema

• Nível do ataque maior ataque = maior dificuldade em identificar.

• +Fontes de registros -> +Entradas = Chegar ao ponto do impossível de detectar.

• Infraestrutura maior -> Mais dispositivos -> Maior conhecimento = Impraticável.

• +Entradas = Impraticável realizar a contagem com exatidão.
CONCLUSÕES
• Sem sistemas centralizados de registro de eventos fica difícil, ou até
impossível, realizar uma gestão segura desses registros em ambientes com
muitas fontes de diferentes formatos.
• Normalização + centralização + visualização correlacionada = aumento da
segurança.
• Diferentes formas em que as fontes desses registros podem se
comunicar.(Enterprise Service Bus + HTTP)
• ESBs possuem mecanismos de segurança embutidos fornece segurança e
credibilidade de tais sistemas.
• Arquitetura ser simples.

More Related Content

Similar to Uma arquitetura estruturada segura na construção de sistemas

Introdução ao teste de intrusão em redes
Introdução ao teste de intrusão em redesIntrodução ao teste de intrusão em redes
Introdução ao teste de intrusão em redesAlisson Fuckner
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais   Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais   Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativasosmarcorrea
 
Segurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software LivreSegurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software LivreMarcelo Piuma
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxpce19791
 
Desenvolvimento de software seguro
Desenvolvimento de software seguroDesenvolvimento de software seguro
Desenvolvimento de software seguroCharles Fortes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Treta Hunting - Cris Barbosa
Treta Hunting - Cris BarbosaTreta Hunting - Cris Barbosa
Treta Hunting - Cris BarbosaTest Girls
 
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...Luiz Arthur
 
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças -  SID301 - Sao Paulo SummitDetecção e Mitigação de Ameaças -  SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo SummitAmazon Web Services
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
Arp e DNS Spoof - Prática de Ataques
Arp e DNS Spoof - Prática de AtaquesArp e DNS Spoof - Prática de Ataques
Arp e DNS Spoof - Prática de AtaquesAndre Peres
 
Nmap - scaneamento de redes e métodos de proteção
Nmap - scaneamento de redes e métodos de proteçãoNmap - scaneamento de redes e métodos de proteção
Nmap - scaneamento de redes e métodos de proteçãoMarcelo Machado Pereira
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula   seguranca da informacao - redes de computadoresNota de aula   seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresfelipetsi
 

Similar to Uma arquitetura estruturada segura na construção de sistemas (20)

Introdução ao teste de intrusão em redes
Introdução ao teste de intrusão em redesIntrodução ao teste de intrusão em redes
Introdução ao teste de intrusão em redes
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
 
IX Semana Gest Tec Evolucao
IX Semana Gest Tec EvolucaoIX Semana Gest Tec Evolucao
IX Semana Gest Tec Evolucao
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais   Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais   Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
 
Segurança de Rede
Segurança de RedeSegurança de Rede
Segurança de Rede
 
Segurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software LivreSegurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software Livre
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptx
 
teste de invasão
teste de invasãoteste de invasão
teste de invasão
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
 
Desenvolvimento de software seguro
Desenvolvimento de software seguroDesenvolvimento de software seguro
Desenvolvimento de software seguro
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Treta Hunting - Cris Barbosa
Treta Hunting - Cris BarbosaTreta Hunting - Cris Barbosa
Treta Hunting - Cris Barbosa
 
Pentest
Pentest Pentest
Pentest
 
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...
 
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças -  SID301 - Sao Paulo SummitDetecção e Mitigação de Ameaças -  SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
 
Arp e DNS Spoof - Prática de Ataques
Arp e DNS Spoof - Prática de AtaquesArp e DNS Spoof - Prática de Ataques
Arp e DNS Spoof - Prática de Ataques
 
Nmap - scaneamento de redes e métodos de proteção
Nmap - scaneamento de redes e métodos de proteçãoNmap - scaneamento de redes e métodos de proteção
Nmap - scaneamento de redes e métodos de proteção
 
CNASI Cyber, Forense e CISSP
CNASI Cyber, Forense e CISSPCNASI Cyber, Forense e CISSP
CNASI Cyber, Forense e CISSP
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula   seguranca da informacao - redes de computadoresNota de aula   seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadores
 

Uma arquitetura estruturada segura na construção de sistemas

  • 1. INSTITUTO TECNOLÓGICO DE AERONÁUTICA UMA ARQUITETURA ESTRUTURADA SEGURA NA CONSTRUÇÃO DE SISTEMAS CENTRALIZADOS DE REGISTROS DE EVENTOS Aluno: Bruno Taboada Especialização em Tecnologia da Informação Segurança da Informação
  • 2. AGENDA 1. Motivação 2. Justificativa 3. O problema 4. Objetivo 5. Arquitetura 6. Experimento 7. Resultados 8. Conclusão
  • 3. MOTIVAÇÃO •Centralização dos registros de eventos de vários formatos e de diferentes fontes em um modelo único e estruturado. •Ferramentas capazes de identificar automaticamente o comportamento suspeito e gerar relatórios e maneiras de apresentação correlacionadas dos eventos contidos nos registros. •Sistemas capazes de receber massivas entradas de registros de eventos concorrentemente e segura.
  • 4. JUSTIFICATIVA Indústrias representadas Outras 23% Financeiras 19% Governo 18% Educação 10% Saúde 8% Telecomunicações 7% Energia 5% Engenharia/Construção 4% Varejo 3% Manufatura 3% 0% 5% 10% 15% 20% 25%
  • 5. JUSTIFICATIVA Tamanho das Organizações 8% Empresas (2000 ou mais empregados do mesmo país) 25% 12% Multinacionais (2000 ou mais empregados) 500 - 1999 empregados 17% 100 a 499 empregados 20% Menos de 100 empregados 18% Até 200
  • 6. JUSTIFICATIVA Desafios na gestão de logs Mais Desafiador Desafio moderado Normalização e categorização da 40% 35% informação Pesquisar 29% 44% Usar os Logs para relatórios e análises 28% 44% Gestão de Logs, incluindo a 27% 34% manutenção da cadeia de custódia Usando Logs para conformidade 17% 35% Armazenamento /arquivamento 17% 28% Coletas de Logs 16% 30% Usar Logs para operações e 16% 44% manutenção
  • 8. OBJETIVO Problemas: • Normalização das entradas dos registros de eventos. • Suporte à pesquisa e à análise dos dados dos registros de eventos com o objetivo de identificar comportamentos suspeitos. Como: • Arquitetura segura com componentes presentes em aplicações web tradicionais. • A construção de um protótipo de um sistema centralizado de registros de eventos. • Cenários com registros de eventos contendo ataques reais. • Experimento controlado.
  • 9. ARQUITETURA ACCORSI (2009) Transmissão: Autenticação de origem: o host que recebe as mensagens de registro de eventos deve garantir que as mensagens foram enviadas por um dispositivo autorizado. Confidencialidade da mensagem: as mensagens de registro de eventos devem permanecer confidenciais durante a transmissão. Integridade da mensagem: as mensagens de registro de eventos não podem ser modificadas durante a transmissão. Singularidade da mensagem: uma mensagem de registro de eventos deve ser gravada apenas uma vez. Entrega confiável: mensagens de registro de eventos enviadas por um dispositivo para um host remoto devem ter a entrega garantida. Isso está relacionado ao protocolo de transporte utilizado.
  • 10. ARQUITETURA ACCORSI (2009) Armazenamento: • Prestação de contas da entrada: entradas de registro devem incluir informações relativas ao assunto, que são acrescentadas à entrada para formar uma trilha de auditoria. • Integridade da entrada: trilhas de auditoria, uma vez gravadas, não podem ser alteradas (alteradas,excluídas ou anexadas). • Confidencialidade da entrada: entradas não são armazenadas em texto claro.
  • 11. ARQUITETURA • Enterprise Service Bus. • Um gateway HTTP. • Um serviço assíncrono. • SGBD. • SqlRouter. • Parsers.
  • 12. ARQUITETURA Transmissão: Chave Valor Resource Nome da fonte do registro logEntry Entrada do registro de eventos Armazenamento: Nome Tipo Id Identificador único gerado pelo SGBD. Identity Who “Quem”.Ex: um endereço IP ou nome de um usuário. String What “O quê”. Ex: um pedido de sincronização ou ação de um usuário. String When “Quando”. Ex: uma data e hora de quando ocorreu o evento. String Where “Onde”. Ex: Um endereço IP de destino. String Timestamp Data e hora registradas no momento do cadastro DateTime Order Data e hora no tipo datetime do banco de dados convertido a partir DateTime de when. Source Nome da fonte de registro. String
  • 14. EXPERIMENTAÇÃO Cenário # Descrição: Objetivo (Ataques). Teste com o sistema Teste sem o sistema P1 * * P2 * * P3 * * Ataque Padrão do ataque
  • 15. EXPERIMENTAÇÃO Nº Ataque Descrição Nível de força Partindo de um único endereço de IP checando um intervalo de portas sequencialmente a um único alvo A1 Port Scanner 1 1 passando por um firewall. Partindo de um único endereço de IP checando um intervalo de portas sequencialmente a três alvos A2 Port Scanner 2 2 passando por três firewalls, cada alvo protegido por um firewall. Partindo de um único endereço de IP checando portas arbitrárias a alvos arbitrários partindo de A3 Port Scanner 3 portas aleatórias passando por três firewalls e 3 realizando conexões normais com a intenção de mascarar o ataque. Partindo de endereços IP arbitrários checando alvos arbitrários em portas arbitrárias em tempos diferentes passando por três firewalls e realizando A4 Port Scanner 4 conexões normais com a intenção de mascarar o 4 ataque, sendo que os alvos estão protegidos por esses firewalls.
  • 16. EXPERIMENTAÇÃO O respondente deve possuir conhecimentos sobre os ataques elaborados e saber Legenda Descrição como identificá-los. Propósito Saber se foi possível identificar o ataque e o grau de dificuldade de identificação. Foi possível identificar o ataque? ( ) Sim ( ) Não P1 Pergunta 1 Grau de dificuldade em identificar os 1 a 10 ataques? P2 Pergunta 2 Foi possível contar o número de ( ) Sim ( ) Não tentativas? P3 Pergunta 3
  • 18. RESULTADOS Foi possível identificar o ataque? Sumário Cenário #1 Cenário #2 Cenário #3 Cenário #4 Cenário #5 Cenário #6 Cenário #7 Teste com o S S S S S S S sistema Teste sem o S S S N N N N sistema
  • 19. RESULTADOS Grau de dificuldade em identificar os ataques? Sumário da Cenário #1 Cenário #2 Cenário #3 Cenário #4 Cenário #5 Cenário #6 Cenário #7 Pontuação Teste com o 1 1 1 1 3 4 5 sistema Teste sem o 1 3 5 7 7 9 10 sistema
  • 20. RESULTADOS Foi possível contar o número de tentativas? Sumário Cenário #1 Cenário #2 Cenário #3 Cenário #4 Cenário #5 Cenário #6 Cenário #7 Teste com o S S S S S S S sistema Teste sem o S S N N N N N sistema
  • 21. RESULTADOS Resultados 1900ral 1900ral 1900ral 1900ral 1900ral Notas 1900ral 1900ral 1900ral 1900ral 1900ral 1900ral #1 #2 #3 #4 #5 #6 #7 Teste com o protótipo 1900ra 1900ra 1900ra 1900ra 1900ra 1900ra 1900ra Teste sem o protótipo 1900ra 1900ra 1900ra 1900ra 1900ra 1900ra 1900ra
  • 22. DISCUSSÕES Sem o sistema • Nível do ataque maior ataque = maior dificuldade em identificar. • +Fontes de registros -> +Entradas = Chegar ao ponto do impossível de detectar. • Infraestrutura maior -> Mais dispositivos -> Maior conhecimento = Impraticável. • +Entradas = Impraticável realizar a contagem com exatidão.
  • 23. CONCLUSÕES • Sem sistemas centralizados de registro de eventos fica difícil, ou até impossível, realizar uma gestão segura desses registros em ambientes com muitas fontes de diferentes formatos. • Normalização + centralização + visualização correlacionada = aumento da segurança. • Diferentes formas em que as fontes desses registros podem se comunicar.(Enterprise Service Bus + HTTP) • ESBs possuem mecanismos de segurança embutidos fornece segurança e credibilidade de tais sistemas. • Arquitetura ser simples.