SIEM – Security Information and Event Management
Entender o que realmente acontece em uma rede corporativa é algo muito complexo. Hoje, é necessário centralizar a retenção e interpretação de logs e eventos gerados pelos mais diversos aplicativos e sistemas da rede.
O conceito de SIEM é relativamente novo. Surgiu em 1999 e evolui gradativamente com novas funções. Uma característica importante é a análise dos dados, está a grande diferença em relação a um gerenciador de logs padrão.
A grande maioria dos sistemas e aplicações disponíveis em uma rede corporativa geram eventos que são armazenados em logs. Essencialmentem, é uma grande lista de eventos ordenada cronologicamente. Existem protocolos específicos para transportar estes eventos. Um bom SIEM deve oferecer formas flexíveis de coletar os eventos.
Benefícios do SIEM
- Acesso centralizado e consistente a todos os logs e eventos
- Arquivo histórico para análise forense
- Ferramentas sofisticadas para geração de relatórios
- Alertas e notificações podem ser disparados imediatamente conforme regras preestabelecidas
- Relação de eventos que ocorrem em múltiplos sistemas, e que no contexto individual não têm relevância
Outra função bastante utilizada é a possibilidade de interação com remediações externas, como um sistema de chamados ou ferramentas para tratamento de incidentes. É recorrente a menção de importância do SIEM quando se trata de atender regulamentações tais como SOX ou PCI.
Soluções de SIEM distribuídas pela CLM
