Elastic SIEM: Introdução
O que é SIEM?
Gerenciamento e Correlação de Eventos de Segurança ( em inglês Security Information and Event Management) é uma solução de Software que combina SIM (security information management) e SEM (security event manager).
O software SIEM coleta vários dados gerados em infra, redes, firewall e antivírus e em seguida identifica anomalias de segurança geradas nessas fontes de dados.
O SIEM geralmente é utilizado por grandes empresas e também por empresas públicas, onde é necessário ter conformidade com algumas regulações como PCI DSS, HIPPA e SOX por exemplo.
Elastic SIEM
O Elastic SIEM foi lançado na versão 7.2 e pode ser utilizado por quem tem a licença basic.
Dentro do Kibana, existe o aplicativo SIEM e através dele é possível ter todos os insumos relacionados aos eventos de segurança da rede e dos hosts do seu ambiente.
O aplicativo SIEM pode ser usado para ajudar a identificar problemas de maneira rápida, pois as métricas presentes nele são mais enxutas e para uma investigação mais aprofundada, podemos olhar os logs no discovery, ou podemos ver também os dashboards que subimos quando colocamos os beats em produção, pois lá, a informação é um pouco mais detalhada. De um modo geral, o aplicativo SIEM funciona como uma extensão dos dashboards e visualizações do Kibana.
Como começar a usar?
É necessário identificar a sua necessidade de coleta de dados para dar os primeiros passos. Se você já tiver dados ECS no seu Elasticsearch, basta atualizar seu cluster para a versão 7.2 (ou versões posteriores a 7.2) para conseguir usar o SIEM.
Eu consegui utilizar os Beats listados abaixo para construir uma visão simples do meu ambiente que possui algumas máquinas Linux e Windows:
- Auditbeat
Utilizei o auditbeat para monitorar os acessos e processos dos hosts. Apesar de podermos utilizar ele em Linux e Windows, não é possível monitorar os acessos de usuários com esse agente, mas é possível monitorar os processos e arquivos dos hosts, como alternativa, nas máquinas Windows utilizei o winlogbeat para monitorar os acessos. - Winlogbeat:
Utilizei o winlogbeat para monitorar os acessos dos servidores Windows.
- Packetbeat:
Utilizei o packetbeat para monitorar os pacotes de rede.
Para montar uma visão parecida com a que eu construí, siga os tutoriais listados abaixo:
Com isso, temos uma visão bem simples de eventos de auditoria, autenticação e de rede do nosso ambiente que podem nos ajudar a identificar ameaças em hosts, aplicações e redes.