Skip to content
logs netwrix

Princípios de Monitoramento de Eventos e de Logs de Auditoria

Logs de evento podem te ajudar a encontrar e resolver eventos de segurança para que você proteja seus sistemas e dados. Entretanto, os registros de logs podem ser difíceis de ler e os logs podem ter tantos ruídos que você não consegue navegar entre as páginas de evento para identificar eventos críticos e ameaças potenciais.

O que é um log de auditoria?

Um log de auditoria é um registro de alterações e eventos em sistemas de TI. Diversas aplicações, serviços, sistemas operacionais e dispositivos de rede geram logs de eventos; exemplos incluem os logs de evento do Microsoft Windows e o Syslog. Gerentes de TI e administradores usam os logs de auditoria para encontrar atividade suspeita e diversos incidentes de segurança.

O formato dos logs de dados pode variar significativamente entre as origens, mas os logs geralmente capturam eventos registrando:

  • A hora em que o evento ocorreu
  • Detalhes do que aconteceu e quando
  • Informação sobre qual usuário causou o evento
  • Detalhes sobre a reação do sistema, incluindo mensagens como “Falha de auditoria”, “Requisição aceita” ou “Acesso negado”.

Manter uma boa trilha de auditoria é tão importante que o Centro para Segurança da Internet (CIS) lista o gerenciamento de log como um dos controles de segurança críticos. Além disso, diversos padrões e regulações como a PCI DSS, HIPAA, SOX requer que as companhias criem e mantenham logs de auditoria para conformidade e pode requerer categorias específicas de eventos. Por exemplo, a PCI DSS requer o monitoramento dos dados do titular do cartão e várias leis de privacidade de dados do consumidor regulam como as companhias coletam, armazenam e compartilham os dados dos clientes.

O que está envolvido no monitoramento de logs de auditoria?

O monitoramento de log de auditoria normalmente consiste dos seguintes passos:

1- Coleta de logs

O primeiro passo do monitoramento dos logs de evento é decidir:

  • Quais computadores, software, dispositivos e outros sistemas para coletar os eventos
  • Quais configurações usar para cada log, como se o tamanho padrão de log será utilizado
  • Como os dados serão armazenados e coletados
  • Como os padrões de tempo normais devem parecer (origem e fuso horário)
Leia também:  Tegra Eleva Maturidade em Segurança Digital com Atualização de Parque de TI

Apesar de parecer uma boa ideia coletar todas as informações de todas as origens, essa estratégia pode ser bem cara por conta da necessidade de armazenar e processar grandes quantidades de dados. Ao invés disso, as organizações devem determinar com cuidado quais eventos coletar de quais origens, balanceando a coleta de dados compreensiva contra os custos associados.

2- Agregação de Logs

Uma vez que os logs comecem a ser coletados, você precisa agregá-los em algum lugar. Uma boa opção é implementar uma solução de gerenciamento de logs para que você possa agregar grandes volumes de dados de diversas origens.

3- Análise de log

Após isso, os logs agregados precisam ser analisados. O exemplo mais simples é separar as strings de logs em campos separados

4- Normalização de log

Sistemas diferentes usam formatos diferentes formatos para seus arquivos de log como CEF, JSON ou CSV. Para que os usuários e os sistemas sejam capazes de ler e analisar os dados, eles precisam ser padronizados em um formato padrão.

5- Correlação de eventos

A correlação de eventos é o processo de encontrar as relações entre os eventos em diferentes logs, como nos logs de segurança do AD, logs do firewall e logs do banco de dados. Por exemplo, se você passou por uma queda de energia no servidor, você pode querer identificar quais aplicações foram impactadas pelos eventos no servidor e nas aplicações de log.

O tipo mais comum de correlação de evento usa regras para relacionar entradas de logs com base no tipo de evento, hora, endereço de IP e outros critérios. A correlação de eventos normalmente depende de análise estatística.

6- Análise de logs

Finalmente, o foco em ameaças e outros eventos críticos, você precisa analisar os seus dados. Plataformas de gerenciamento de logs centralizados podem automatizar e facilitar o processo de análise de dados dos logs. Eles usam a visualização para destacar as similaridades e correlação entre eventos, tornado fácil de encontrar problemas, encontrar a raiz das causas e determinar as ações de resposta apropriadas.

Leia também:  Netwrix: Soluções Unificadas para Segurança Crítica

Soluções de SIEM para monitoramento dos logs auditados

As soluções de gerenciamento de informação e evento (SIEM) podem oferecer monitoramento eficiente e confiável dos logs. Os Softwares de SIEM tipicamente coletam dados de logs gerados por múltiplas origens, eventos correlacionados, realizar análise de ameaças sofisticadas e oferece capacidades de alerta, permitindo que as equipes de TI respondam rapidamente.

Entretanto, as ferramentas de monitoramento de logs SIEM têm alguns problemas. Normalmente elas são:

  • Complexas e caras: Comparada às soluções de gerenciamento de logs, as ferramentas de SIEM são mais complicadas de operar e configurar. Como resultado, eles normalmente requisitam pessoal dedicado e que costuma ser caro.
  • Não projetado para identificar vulnerabilidades: SIEMs são feitos para detectar ameaças ativas, mas eles não podem encontrar os buracos de segurança para reduzir a sua superfície de ataque ou te ajudar a entender quais dados são sensíveis e precisam de proteção.
  • Provavelmente irão gerar alarmes fáceis: As ferramentas de SIEM podem gerar inúmeros alertas de falso positivo. As equipes de TI irão dedicar uma grande quantidade de tempo a investigações caso as ferramentas não estejam configuradas de forma apropriada.

Aumente suas capacidades de monitoramento de Logs com as soluções Netwrix

Os produtos Netwrix oferecem um método mais abrangente de segurança do que as soluções SIEM:

  • O Netwrix Auditor te ajudará a realizar avaliações de riscos regulares para melhorar a segurança e passar em auditorias de conformidade além de otimizar as operações de TI.
  • O Netwrix Change Tracker te ajudará a estabelecer e manter configurações seguras de sistemas críticos.
  • O Netwrix Data Classification oferece identificação e classificação de conteúdo crítico para o negócio dentro da sua organização.
  • O Netwrix StealthDEFEND e o Netwrix StealthINTERCEPT te ajudarão a identificar e responder a comportamentos suspeitos e ataques avançados.

FAQ

  1. O que é um evento de log de auditoria?
    • Um evento de log de auditoria é o processo de processar e analisar os logs de sistemas empresariais de TI.
  2. O que é o monitoramento de log de auditoria?
    • O monitoramento de log de auditoria é um outro termo para eventos de log de auditoria. Outro termo normalmente utilizado é a Auditoria de arquivos.
  3. O que os logs de eventos te dizem?
    • Os logs de evento te dão informação sobre a operação e utilização do sistema operacional, dispositivo e aplicações.

Comente o que achou do artigo