Open in app

Sign in

Write

Sign in

Elastic SIEM: Introdução

Beatriz Oliveira
SysAdminas
3 min readNov 3, 2019

--

O que é SIEM?

Gerenciamento e Correlação de Eventos de Segurança ( em inglês Security Information and Event Management) é uma solução de Software que combina SIM (security information management) e SEM (security event manager).

O software SIEM coleta vários dados gerados em infra, redes, firewall e antivírus e em seguida identifica anomalias de segurança geradas nessas fontes de dados.

O SIEM geralmente é utilizado por grandes empresas e também por empresas públicas, onde é necessário ter conformidade com algumas regulações como PCI DSS, HIPPA e SOX por exemplo.

Elastic SIEM

O Elastic SIEM foi lançado na versão 7.2 e pode ser utilizado por quem tem a licença basic.

Dentro do Kibana, existe o aplicativo SIEM e através dele é possível ter todos os insumos relacionados aos eventos de segurança da rede e dos hosts do seu ambiente.

O aplicativo SIEM pode ser usado para ajudar a identificar problemas de maneira rápida, pois as métricas presentes nele são mais enxutas e para uma investigação mais aprofundada, podemos olhar os logs no discovery, ou podemos ver também os dashboards que subimos quando colocamos os beats em produção, pois lá, a informação é um pouco mais detalhada. De um modo geral, o aplicativo SIEM funciona como uma extensão dos dashboards e visualizações do Kibana.

Visão geral do aplicativo SIEM no Kibana

Como começar a usar?

É necessário identificar a sua necessidade de coleta de dados para dar os primeiros passos. Se você já tiver dados ECS no seu Elasticsearch, basta atualizar seu cluster para a versão 7.2 (ou versões posteriores a 7.2) para conseguir usar o SIEM.

Eu consegui utilizar os Beats listados abaixo para construir uma visão simples do meu ambiente que possui algumas máquinas Linux e Windows:

  • Auditbeat
    Utilizei o auditbeat para monitorar os acessos e processos dos hosts. Apesar de podermos utilizar ele em Linux e Windows, não é possível monitorar os acessos de usuários com esse agente, mas é possível monitorar os processos e arquivos dos hosts, como alternativa, nas máquinas Windows utilizei o winlogbeat para monitorar os acessos.
  • Winlogbeat:
    Utilizei o winlogbeat para monitorar os acessos dos servidores Windows.
Visão dos eventos de segurança nos hosts
  • Packetbeat:
    Utilizei o packetbeat para monitorar os pacotes de rede.
Visão dos eventos de segurança na rede

Para montar uma visão parecida com a que eu construí, siga os tutoriais listados abaixo:

  1. Instalação e configuração do Packetbeat
  2. Instalação e configuração do Winlogbeat
  3. Instalação e configuração do Auditbeat

Com isso, temos uma visão bem simples de eventos de auditoria, autenticação e de rede do nosso ambiente que podem nos ajudar a identificar ameaças em hosts, aplicações e redes.

Elasticsearch
Kibana
Beats
Siem
Infra De Ti

--

--

Beatriz Oliveira
SysAdminas

Written by Beatriz Oliveira

842 Followers
Editor for

Learning and sharing knowledge about technology and diversity. | thebeaoliveira.com

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams