SecOps

Como escolher um SIEM, de acordo com o Gartner

porMarketing

O SIEM é uma ferramenta-chave para aumentar a capacidade de atuação de um SOC, seja ele formal ou informal. Mas a própria ferramenta segue evoluindo, desde que foi formalmente definida pelo Gartner em 2005. Novas funcionalidades e recursos a vêm redesenhando, para além da função central de processar logs e de criar correlações entre eles para a análise de eventos de segurança.

Sem perder a sua centralidade, o SIEM já aparece funcionando junto com outras soluções, como: SOAR – security orchestration, automation and response, UEBA – user entity and behavior analytics e TIPs – threat intelligence platforms.

Como então escolher um SIEM? Que recursos e funcionalidades todo SIEM deve ter? O que você deve considerar sobre o seu ambiente ao levar esse recurso para a organização?

Neste artigo, você encontra as respostas do Gartner para essa pergunta.

Definição de mercado para o SIEM

O SIEM é um sistema configurável que agrega e analisa dados de ambientes on-premise e cloud a fim de identificar, investigar, dar apoio a respostas e relatar eventos de segurança.

Funcionalidades que todo SIEM deve ter

  • Coleta de dados relevantes em segurança a partir de ativos localizados on-premise e/ou cloud.  
  • Funcionalidades para que os usuários desenvolvam, modifiquem e mantenham seus próprios casos de uso de detecção, com base em métodos de correlação, análise e assinaturas customizados.  
  • Fornecimento de conteúdo para fazer customizações, sobre áreas como: análise, normalização de dados, coleta e enriquecimento.  
  • Fornecimento de gerenciamento de casos e suporte para atividades de resposta a incidentes.  
  • Geração de relatórios para atender necessidades de negócios, compliance e auditorias.

Funcionalidades standard de um SIEM

  • Armazenamento de dados sobre eventos de segurança, com disponibilidade para pesquisa posterior.
  • Coleta de dados de eventos provenientes de fontes diversas, utilizando múltiplos mecanismos (fluxo de logs, API, processamento de arquivos) para casos de uso de detecção de ameaças, relatórios e investigações de incidentes.
  • Múltiplas opções de implantação, incluindo on-premise, cloud, cloud-native ou SaaS.
  • Normalização, enriquecimento e pontuação de risco de dados provenientes de sistemas fornecidos por terceiros.
  • Orquestração e automação de tarefas e de workflows de investigação para mitigar o impacto de incidentes.
  • SOAR.
  • Funcionalidades de análise avançadas, com UEBA e machine learning.
  • TIP, para fornecer informações contextuais sobre ameaças.

Funcionalidades optativas de um SIEM

  • Integração com outras tecnologias, por meio de app stores, marketplaces e integrações.
  • Federated search.
  • Busca e consulta de eventos para além do repositório de dados do SIEM, com vistas a enriquecimento de informações de eventos.
  • Tecnologias complementares, como detecção e resposta em endpoints (EDR) e detecção e resposta em rede (NDR).
  • Integração com plataformas de data lake.

Mudanças no mercado de SIEM

O Gartner observa algumas tendências de mudança no SIEM. São elas:

  • SIEM as a service
  • Compatibilidade com APIs de acesso a dados
  • Soluções centradas nas principais necessidades de coleta de logs e no processo, detecção e resposta tradicionalmente realizadas por um SIEM, que, apesar de menos flexíveis, atraem operações menos maduras
  • Automação e orquestração.

Funcionalidades críticas em um SIEM

  • Arquitetura e implantação: o SIEM deve se adequar a uma variedade de ambientes, incluindo on-premise, cloud-native ou hospedagem em cloud, assim como se integrar a outros serviços para coletar e monitorar dados.

 

  • Coleta de dados: capacidade e facilidade de gerenciar logs, chamadas de API e outros dados, independentemente do volume e da fonte, com velocidade.

 

  • Add-ons: ter soluções complementares e integradas disponíveis no mesmo fornecedor de SIEM, que podem incluir SOAR, TIP, UEBA, XDR etc.

 

  • Conteúdo: ferramentas de interesse geral que já vêm disponíveis no SIEM para detectar, priorizar e reportar anomalias comuns, como frameworks, playbooks, dashboards etc.

 

  • Compatibilidade: rol de recursos para gerenciar o conteúdo disponível, entre conectores, integrações etc.

 

  • Integrações: capacidade de trabalhar bidirecionalmente com outras plataformas, focadas ou não em segurança.

 

  • Roadmap: evolução do produto, para se adaptar continuamente às necessidades do ambiente das organizações, mas também a variações na superfície de ataque.

 

  • Interface do usuário: adequar-se a diferentes perfis de seus usuários, de acordo com o nível de expertise requerida.

 

  • Funcionalidades prontas para uso: embora relevante sobretudo para consumidores menos maduros de um SIEM, envolve a consideração sobre monitorias de segurança comuns ou em requisitos de compliance.

 

  • Customização: capacidade de configurar a plataforma SIEM para atender diferentes requisitos de segurança, dentro de uma sólida e individual compreensão da superfície de exposição a riscos, com os devidos efeitos sobre a geração de alertas, análises, reports e dashboards.

 

  • Detecção, investigação e resposta: recursos fundamentais para quem busca uma operação de segurança altamente integrada.

 

Quando buscar um SIEM

Sendo o core de um SOC, seja formal ou informal, o SIEM pode estar em operações com variados níveis de maturidade e tamanho. Mas isso leva a uma variação nas funcionalidades requeridas.

A variação de SIEMs disponíveis no mercado é grande. Há plataformas disponíveis para cada tipo  e porte de operação, com plataformas cloud-nativas universalizadas e, consequentemente, menor complexidade e custos associados a implementação e manutenção contínua. 

Ainda assim, de acordo com a análise do Gartner, os CISOS devem determinar e documentar com precisão o escopo e os casos de uso em que pretendem aplicar um SIEM antes de ir ao mercado. Fatores como infraestrutura, necessidades de compliance e auditorias podem influenciar diretamente na arquitetura da solução, assim como nos recursos requeridos.

Além disso, o SIEM não é um plug-and-play. Para alcançar o valor máximo do investimento nessa solução, a melhoria contínua da operação é fundamental, tanto para os casos de uso previstos quanto para a adoção de novos recursos e tecnologias complementares.

Magic Quadrant for SIEM 2024

Entre os líderes do Magic Quadrant para SIEM, figuram Splunk e Microsoft, seguidos de IBM, Securonix e Exabeam.

magic quadrant for siem 2024
Magic Quadrant for Security Information and Event Management

SIEM: o centro da sua operação de segurança

Neste artigo você viu o que se pode esperar de um SIEM e, mais do que isso, o que deve considerar ao buscar um para estruturar o SOC e a estratégia de segurança da informação da organização.

Ainda assim, apoio especializado pode fazer a diferença, sobretudo em operações críticas.

Nisso, a DataRunk pode ajudar você. Podemos atuar no mapeamento do ambiente, na determinação do seu propósito em segurança, na identificação de tecnologias, dimensionamento e implantação, e treinamento da sua equipe.

Fale conosco para estruturar ou evoluir o seu SOC.

 

mão pressiona cadeado exemplificando uso do siem
DataRunk SOC

Some nossa experiência e conhecimento técnico a cinco frentes do seu SOC

SIEM

SOAR

Detecção e resposta

Threat hunting

Cyber threat intelligence

Quero reforços

Explore conteúdos relacionados:

SecOps

Como ganhar visibilidade sobre um ambiente tecnológico complexo

Leia mais →
SecOps

SIEM: por que os times de segurança escolhem o Splunk Enterprise?

Leia mais →

Endereço: Rua Elesbão Pinto, 460 - sala 705, Mont Blanc Office, Blumenau - SC

Política de Privacidade

Política de Cookies

Termos de uso

trasso

Some nossa experiência e conhecimento técnico a seu SOC em:

SIEM

SOAR

Detecção e resposta

Threat hunting

Cyber threat intelligence

Quero reforços para o SOC