Noções básicas de software de monitoramento de registro de eventos e auditoria de logs

Os registros de eventos podem ajudá-lo a identificar e solucionar eventos de segurança para que você possa proteger seus sistemas e dados. No entanto, os registros podem ser difíceis de ler, e os logs tão ruidosos que muitas vezes é necessário filtrar páginas de eventos para identificar eventos críticos e ameaças potenciais.

Continue lendo para saber mais sobre registros de auditoria, análise de logs e software de auditoria de logs.

O que é um registro de auditoria?

Um registro de auditoria é um livro-razão de alterações e eventos em sistemas de TI. Muitos aplicativos, serviços, sistemas operacionais e network devices geram registros de eventos; exemplos incluem registros de eventos do Microsoft Windows e Syslog. Gerentes e administradores de TI usam registros de auditoria para identificar atividades suspeitas e investigar incidentes.

O formato dos dados de log pode variar significativamente entre as fontes, mas os logs geralmente capturam eventos registrando:

• O momento em que o evento ocorreu
• Detalhes sobre o que aconteceu e onde
• Informações sobre qual usuário causou o evento
• Detalhes sobre a reação do sistema, incluindo mensagens como “Audit Failure”, “Request accepted” ou “Access denied”.

Manter um bom registro de auditoria é tão importante que o Center for Internet Security (CIS) lista o gerenciamento de logs como um de seus critical security controls. Além disso, muitas normas e regulamentos — como o Payment Card Industry Data Security Standard (PCI DSS), a Health Insurance Portability and Accountability Act (HIPAA), o Sarbanes-Oxley (SOX) Act e o Gramm-Leach-Bliley Act— exigem que as empresas criem e mantenham registros de auditoria para conformidade, e podem requerer a cobertura de categorias específicas de eventos. Por exemplo, o PCI DSS exige o monitoramento do acesso a dados de titulares de cartões, e várias leis de data privacy law regulam como as empresas coletam, armazenam e compartilham dados de clientes.

O que está envolvido no monitoramento de logs de auditoria?

O monitoramento do registro de auditoria geralmente consiste nas seguintes etapas:

1. Coleta de Logs

O primeiro passo no monitoramento de logs de eventos é decidir:

• De quais computadores, softwares, dispositivos e outros sistemas coletar eventos
• Quais configurações usar para cada registro, como por exemplo se deve usar o tamanho padrão do registro
• Como os dados serão armazenados e coletados
• Como devem ser as configurações de tempo normalizadas (fonte e fuso horário)

Embora possa parecer sensato coletar todas as informações de todas as fontes, essa estratégia pode ser bastante cara devido à necessidade de armazenar e processar enormes quantidades de dados. Em vez disso, as organizações devem determinar cuidadosamente quais eventos coletar de quais fontes, equilibrando o desejo por uma coleta de dados abrangente com os custos associados.

2. Agregação de Logs

Uma vez que você começou a coletar dados de log, você precisa agregá-los em um único local. Uma boa opção é implementar uma solução de gerenciamento de log que possa agregar grandes volumes de dados de várias fontes.

3. Análise de Log

Em seguida, os arquivos de log agregados precisam ser analisados. O exemplo mais simples é dividir cadeias de log contínuas em campos separados.

4. Normalização de Logs

Diferentes sistemas utilizam diferentes formatos para seus arquivos de log, como CEF, JSON ou CSV. Para capacitar usuários e sistemas a ler e analisar os dados, é necessário padronizá-los em um formato comum.

5. Correlação de Eventos

A correlação de eventos é o processo de encontrar relações entre eventos em diferentes registros, como registros de segurança do Active Directory, registros de firewall e registros de banco de dados. Por exemplo, se você enfrentou uma interrupção do servidor, pode querer identificar quais aplicações foram impactadas correspondendo os eventos nos registros do servidor e das aplicações.

O tipo mais comum de correlação de eventos utiliza regras para combinar entradas de log baseadas em tipo de evento, carimbo de data/hora, endereço IP e outros critérios. A correlação de eventos frequentemente depende de análise estatística.

6. Análise de Log

Finalmente, para se concentrar em ameaças reais e outros eventos críticos, você precisa analisar seus dados. Plataformas centralizadas de gerenciamento de logs podem automatizar e otimizar o processo de análise de dados de logs. Elas utilizam visualização para destacar as semelhanças e correlações entre eventos, facilitando a identificação de problemas, rastreamento de causas raízes e determinação de ações de resposta apropriadas.

Soluções SIEM para Monitoramento de Logs de Auditoria

Soluções de gestão de informações de segurança e eventos (SIEM) podem fornecer monitoramento de logs eficiente e confiável. SIEM o software geralmente coleta dados de logs gerados por múltiplas fontes, correlaciona eventos, realiza análises de ameaças sofisticadas e oferece capacidades de alerta, permitindo que as equipes de TI respondam rapidamente.

No entanto, as ferramentas de monitoramento de logs SIEM têm algumas desvantagens. Em particular, elas são frequentemente:

• Complexo e caro: Comparado às soluções de gerenciamento de logs, as ferramentas SIEM são mais complicadas de operar e configurar. Como resultado, podem exigir pessoal dedicado — e dispendioso.
• Não projetado para identificar vulnerabilidades: Os SIEMs são construídos para detectar ameaças ativas, mas eles não conseguem identificar lacunas de segurança para reduzir sua superfície de ataque ou ajudá-lo a entender quais dados são sensíveis e requerem proteção.
• Provável de gerar falsos alarmes: Ferramentas SIEM podem gerar numerosos falsos alarmes. Equipes de TI gastarão enormes quantidades de tempo investigando-os se as ferramentas não estiverem ajustadas corretamente.

Amplie suas capacidades de monitoramento de logs com as soluções Netwrix

Os produtos da Netwrix oferecem uma abordagem mais holística para a segurança do que as soluções SIEM:

• Netwrix Auditor ajudará você a realizar avaliações regulares de risco para melhorar a segurança, passar em auditorias de conformidade e otimizar operações de TI.
• Netwrix Change Tracker ajudará você a estabelecer e manter configurações seguras de sistemas críticos.
• Netwrix Data Classification identificará e classificará conteúdo sensível e crítico para os negócios em toda a sua organização.
• Netwrix StealthDEFENDe Netwrix Threat Prevention ajudarão você a identificar e responder a comportamentos anormais e ataques avançados.

FAQ

O que é auditoria de log de eventos?

A auditoria de logs de eventos é o processo de processamento e análise dos registros dos sistemas de TI empresariais.

O que é o monitoramento de registro de auditoria?

O monitoramento de registro de auditoria é outro termo para auditoria de registro de eventos. Outro termo intercambiável é auditoria de arquivo de registro.

O que os registros de eventos informam?

Os logs de eventos contêm informações sobre a operação e uso de sistemas operacionais, dispositivos e aplicações.