{"id":2373,"date":"2023-01-20T16:48:04","date_gmt":"2023-01-20T19:48:04","guid":{"rendered":"https:\/\/aiqon.com.br\/blog\/?p=2373"},"modified":"2023-01-24T17:11:51","modified_gmt":"2023-01-24T20:11:51","slug":"principios-de-monitoramento-de-eventos-e-de-logs-de-auditoria","status":"publish","type":"post","link":"https:\/\/aiqon.com.br\/blog\/principios-de-monitoramento-de-eventos-e-de-logs-de-auditoria\/","title":{"rendered":"Princ\u00edpios de Monitoramento de Eventos e de Logs de Auditoria"},"content":{"rendered":"<div id=\"bsf_rt_marker\"><\/div><p>Logs de evento podem te ajudar a encontrar e resolver eventos de seguran\u00e7a para que voc\u00ea proteja seus sistemas e dados. Entretanto, os registros de logs podem ser dif\u00edceis de ler e os logs podem ter tantos ru\u00eddos que voc\u00ea n\u00e3o consegue navegar entre as p\u00e1ginas de evento para identificar eventos cr\u00edticos e amea\u00e7as potenciais.<\/p><div id=\"ez-toc-container\" class=\"ez-toc-v2_0_85 ez-toc-wrap-left counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Nesse Artigo<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabela de conte\u00fado\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/aiqon.com.br\/blog\/principios-de-monitoramento-de-eventos-e-de-logs-de-auditoria\/#O_que_e_um_log_de_auditoria\" >O que \u00e9 um log de auditoria?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/aiqon.com.br\/blog\/principios-de-monitoramento-de-eventos-e-de-logs-de-auditoria\/#O_que_esta_envolvido_no_monitoramento_de_logs_de_auditoria\" >O que est\u00e1 envolvido no monitoramento de logs de auditoria?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/aiqon.com.br\/blog\/principios-de-monitoramento-de-eventos-e-de-logs-de-auditoria\/#Solucoes_de_SIEM_para_monitoramento_dos_logs_auditados\" >Solu\u00e7\u00f5es de SIEM para monitoramento dos logs auditados<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/aiqon.com.br\/blog\/principios-de-monitoramento-de-eventos-e-de-logs-de-auditoria\/#Aumente_suas_capacidades_de_monitoramento_de_Logs_com_as_solucoes_Netwrix\" >Aumente suas capacidades de monitoramento de Logs com as solu\u00e7\u00f5es Netwrix<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/aiqon.com.br\/blog\/principios-de-monitoramento-de-eventos-e-de-logs-de-auditoria\/#FAQ\" >FAQ<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"O_que_e_um_log_de_auditoria\"><\/span>O que \u00e9 um log de auditoria?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Um log de auditoria \u00e9 um registro de altera\u00e7\u00f5es e eventos em sistemas de TI. Diversas aplica\u00e7\u00f5es, servi\u00e7os, sistemas operacionais e dispositivos de rede geram logs de eventos; exemplos incluem os logs de evento do Microsoft Windows e o Syslog. Gerentes de TI e administradores usam os logs de auditoria para encontrar atividade suspeita e diversos incidentes de seguran\u00e7a.<\/p>\n<p>O formato dos logs de dados pode variar significativamente entre as origens, mas os logs geralmente capturam eventos registrando:<\/p>\n<ul>\n<li>A hora em que o evento ocorreu<\/li>\n<li>Detalhes do que aconteceu e quando<\/li>\n<li>Informa\u00e7\u00e3o sobre qual usu\u00e1rio causou o evento<\/li>\n<li>Detalhes sobre a rea\u00e7\u00e3o do sistema, incluindo mensagens como \u201cFalha de auditoria\u201d, \u201cRequisi\u00e7\u00e3o aceita\u201d ou \u201cAcesso negado\u201d.<\/li>\n<\/ul>\n<p>Manter uma boa <strong>trilha de auditoria<\/strong> \u00e9 t\u00e3o importante que o Centro para Seguran\u00e7a da Internet (CIS) lista o gerenciamento de log como um dos controles de seguran\u00e7a cr\u00edticos. Al\u00e9m disso, diversos padr\u00f5es e regula\u00e7\u00f5es como a PCI DSS, <a href=\"https:\/\/aiqon.com.br\/blog\/o-que-e-o-hipaa-compliance\/\">HIPAA<\/a>, SOX requer que as companhias criem e mantenham logs de auditoria para conformidade e pode requerer categorias espec\u00edficas de eventos. Por exemplo, a PCI DSS requer o monitoramento dos dados do titular do cart\u00e3o e v\u00e1rias leis de privacidade de dados do consumidor regulam como as companhias coletam, armazenam e compartilham os dados dos clientes.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"O_que_esta_envolvido_no_monitoramento_de_logs_de_auditoria\"><\/span>O que est\u00e1 envolvido no monitoramento de logs de auditoria?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>O monitoramento de log de auditoria normalmente consiste dos seguintes passos:<\/p>\n<h3 style=\"padding-left: 40px;\">1- Coleta de logs<\/h3>\n<p>O primeiro passo do monitoramento dos logs de evento \u00e9 decidir:<\/p>\n<ul>\n<li>Quais computadores, software, dispositivos e outros sistemas para coletar os eventos<\/li>\n<li>Quais configura\u00e7\u00f5es usar para cada log, como se o tamanho padr\u00e3o de log ser\u00e1 utilizado<\/li>\n<li>Como os dados ser\u00e3o armazenados e coletados<\/li>\n<li>Como os padr\u00f5es de tempo normais devem parecer (origem e fuso hor\u00e1rio)<\/li>\n<\/ul>\n<p>Apesar de parecer uma boa ideia coletar todas as informa\u00e7\u00f5es de todas as origens, essa estrat\u00e9gia pode ser bem cara por conta da necessidade de armazenar e processar grandes quantidades de dados. Ao inv\u00e9s disso, as organiza\u00e7\u00f5es devem determinar com cuidado quais eventos coletar de quais origens, balanceando a coleta de dados compreensiva contra os custos associados.<\/p>\n<h3 style=\"padding-left: 40px;\">2- Agrega\u00e7\u00e3o de Logs<\/h3>\n<p>Uma vez que os logs comecem a ser coletados, voc\u00ea precisa agreg\u00e1-los em algum lugar. Uma boa op\u00e7\u00e3o \u00e9 implementar uma <strong>solu\u00e7\u00e3o de gerenciamento de logs<\/strong> para que voc\u00ea possa agregar grandes volumes de dados de diversas origens.<\/p>\n<h3 style=\"padding-left: 40px;\">3- An\u00e1lise de log<\/h3>\n<p>Ap\u00f3s isso, os logs agregados precisam ser analisados. O exemplo mais simples \u00e9 separar as strings de logs em campos separados<\/p>\n<h3 style=\"padding-left: 40px;\">4- Normaliza\u00e7\u00e3o de log<\/h3>\n<p>Sistemas diferentes usam formatos diferentes formatos para seus arquivos de log como CEF, JSON ou CSV. Para que os usu\u00e1rios e os sistemas sejam capazes de ler e analisar os dados, eles precisam ser padronizados em um formato padr\u00e3o.<\/p>\n<h3 style=\"padding-left: 40px;\">5- Correla\u00e7\u00e3o de eventos<\/h3>\n<p>A correla\u00e7\u00e3o de eventos \u00e9 o processo de encontrar as rela\u00e7\u00f5es entre os eventos em diferentes logs, como nos logs de seguran\u00e7a do AD, logs do firewall e logs do banco de dados. Por exemplo, se voc\u00ea passou por uma queda de energia no servidor, voc\u00ea pode querer identificar quais aplica\u00e7\u00f5es foram impactadas pelos eventos no servidor e nas aplica\u00e7\u00f5es de log.<\/p>\n<p>O tipo mais comum de correla\u00e7\u00e3o de evento usa regras para relacionar entradas de logs com base no tipo de evento, hora, endere\u00e7o de IP e outros crit\u00e9rios. A correla\u00e7\u00e3o de eventos normalmente depende de an\u00e1lise estat\u00edstica.<\/p>\n<h3 style=\"padding-left: 40px;\">6- An\u00e1lise de logs<\/h3>\n<p>Finalmente, o foco em amea\u00e7as e outros eventos cr\u00edticos, voc\u00ea precisa analisar os seus dados. Plataformas de gerenciamento de logs centralizados podem automatizar e facilitar o processo de an\u00e1lise de dados dos logs. Eles usam a visualiza\u00e7\u00e3o para destacar as similaridades e correla\u00e7\u00e3o entre eventos, tornado f\u00e1cil de encontrar problemas, encontrar a raiz das causas e determinar as a\u00e7\u00f5es de resposta apropriadas.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Solucoes_de_SIEM_para_monitoramento_dos_logs_auditados\"><\/span>Solu\u00e7\u00f5es de SIEM para monitoramento dos logs auditados<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>As solu\u00e7\u00f5es de gerenciamento de informa\u00e7\u00e3o e evento (SIEM) podem oferecer monitoramento eficiente e confi\u00e1vel dos logs. Os Softwares de SIEM tipicamente coletam dados de logs gerados por m\u00faltiplas origens, eventos correlacionados, realizar an\u00e1lise de amea\u00e7as sofisticadas e oferece capacidades de alerta, permitindo que as equipes de TI respondam rapidamente.<\/p>\n<p>Entretanto, as ferramentas de monitoramento de logs <strong>SIEM t\u00eam alguns problemas<\/strong>. Normalmente elas s\u00e3o:<\/p>\n<ul>\n<li><strong>Complexas e caras<\/strong>: Comparada \u00e0s solu\u00e7\u00f5es de gerenciamento de logs, as ferramentas de SIEM s\u00e3o mais complicadas de operar e configurar. Como resultado, eles normalmente requisitam pessoal dedicado e que costuma ser caro.<\/li>\n<li><strong>N\u00e3o projetado para identificar vulnerabilidades<\/strong>: SIEMs s\u00e3o feitos para detectar amea\u00e7as ativas, mas eles n\u00e3o podem encontrar os buracos de seguran\u00e7a para reduzir a sua superf\u00edcie de ataque ou te ajudar a entender quais dados s\u00e3o sens\u00edveis e precisam de prote\u00e7\u00e3o.<\/li>\n<li><strong>Provavelmente ir\u00e3o gerar alarmes f\u00e1ceis<\/strong>: As ferramentas de SIEM podem gerar in\u00fameros alertas de falso positivo. As equipes de TI ir\u00e3o dedicar uma grande quantidade de tempo a investiga\u00e7\u00f5es caso as ferramentas n\u00e3o estejam configuradas de forma apropriada.<\/li>\n<\/ul>\n<h2><span class=\"ez-toc-section\" id=\"Aumente_suas_capacidades_de_monitoramento_de_Logs_com_as_solucoes_Netwrix\"><\/span>Aumente suas capacidades de monitoramento de Logs com as solu\u00e7\u00f5es Netwrix<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Os produtos Netwrix oferecem um m\u00e9todo mais abrangente de seguran\u00e7a do que as solu\u00e7\u00f5es SIEM:<\/p>\n<ul>\n<li>O <a href=\"https:\/\/lps.aiqon.com.br\/netwrix-trial\"><strong>Netwrix Auditor<\/strong><\/a> te ajudar\u00e1 a realizar avalia\u00e7\u00f5es de riscos regulares para melhorar a seguran\u00e7a e passar em auditorias de conformidade al\u00e9m de otimizar as opera\u00e7\u00f5es de TI.<\/li>\n<li>O <a href=\"https:\/\/www.netwrix.com\/download\/Datasheets\/Netwrix_Change_Tracker_Datasheet.pdf\"><strong>Netwrix Change Tracker<\/strong><\/a> te ajudar\u00e1 a estabelecer e manter configura\u00e7\u00f5es seguras de sistemas cr\u00edticos.<\/li>\n<li>O <a href=\"https:\/\/aiqon.com.br\/ndc\/\"><strong>Netwrix Data Classification<\/strong> <\/a>oferece identifica\u00e7\u00e3o e classifica\u00e7\u00e3o de conte\u00fado cr\u00edtico para o neg\u00f3cio dentro da sua organiza\u00e7\u00e3o.<\/li>\n<li>O <a href=\"https:\/\/lps.aiqon.com.br\/stealthdefend\"><strong>Netwrix StealthDEFEND<\/strong> <\/a>e o <a href=\"https:\/\/lps.aiqon.com.br\/stealthintercept\"><strong>Netwrix StealthINTERCEPT<\/strong><\/a> te ajudar\u00e3o a identificar e responder a comportamentos suspeitos e ataques avan\u00e7ados.<\/li>\n<\/ul>\n<h2><span class=\"ez-toc-section\" id=\"FAQ\"><\/span>FAQ<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<ol>\n<li><strong>O que \u00e9 um evento de log de auditoria?<\/strong>\n<ul>\n<li>Um evento de log de auditoria \u00e9 o processo de processar e analisar os logs de sistemas empresariais de TI.<\/li>\n<\/ul>\n<\/li>\n<li><strong>O que \u00e9 o monitoramento de log de auditoria?<\/strong>\n<ul>\n<li>O monitoramento de log de auditoria \u00e9 um outro termo para eventos de log de auditoria. Outro termo normalmente utilizado \u00e9 a Auditoria de arquivos.<\/li>\n<\/ul>\n<\/li>\n<li><strong>O que os logs de eventos te dizem?<\/strong>\n<ul>\n<li>Os logs de evento te d\u00e3o informa\u00e7\u00e3o sobre a opera\u00e7\u00e3o e utiliza\u00e7\u00e3o do sistema operacional, dispositivo e aplica\u00e7\u00f5es.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"<p>Logs de evento podem te ajudar a encontrar e resolver eventos de seguran\u00e7a para que voc\u00ea proteja seus sistemas e dados. Entretanto, os registros de logs podem ser dif\u00edceis de ler e os logs podem ter tantos ru\u00eddos que voc\u00ea n\u00e3o consegue navegar entre as p\u00e1ginas de evento para identificar eventos cr\u00edticos e amea\u00e7as potenciais. [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":2375,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_feature_clip_id":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_post_was_ever_published":false},"categories":[123],"tags":[6,241,242],"class_list":["post-2373","post","type-post","status-publish","format-standard","has-post-thumbnail","category-auditoria-de-ti","tag-auditoria","tag-logs","tag-siem","czr-hentry"],"jetpack_featured_media_url":"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2023\/01\/lgos.jpg","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2373","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/comments?post=2373"}],"version-history":[{"count":2,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2373\/revisions"}],"predecessor-version":[{"id":2376,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2373\/revisions\/2376"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media\/2375"}],"wp:attachment":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media?parent=2373"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/categories?post=2373"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/tags?post=2373"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}