Agregacao de logs
O que é Agregacao de logs?
Agregacao de logsRecolha, normalizacao e armazenamento centralizado de registos de eventos de varios sistemas numa unica plataforma para pesquisa, analise e retencao.
A agregacao de logs consiste em enviar os registos de servidores, endpoints, servicos cloud, equipamentos de rede e aplicacoes para um repositorio central, como um SIEM ou um data lake. Agentes ou relays syslog recolhem os eventos brutos, normalizam-nos num esquema comum, enriquecem-nos com metadados e gravam-nos em armazenamento indexado para que os analistas consultem todo o ambiente. E a base da detecao, do threat hunting, da resposta a incidentes e da retencao para conformidade. As preocupacoes operacionais incluem sincronizacao temporal, cobertura de fontes, qualidade do parsing, custo de armazenamento e integridade dos logs.
● Exemplos
- 01
Encaminhar auditd Linux, registo de eventos do Windows e AWS CloudTrail para o mesmo indice de SIEM.
- 02
Usar um relay syslog para enviar logs de firewall para um bucket de armazenamento frio durante um ano.
● Perguntas frequentes
O que é Agregacao de logs?
Recolha, normalizacao e armazenamento centralizado de registos de eventos de varios sistemas numa unica plataforma para pesquisa, analise e retencao. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Agregacao de logs?
Recolha, normalizacao e armazenamento centralizado de registos de eventos de varios sistemas numa unica plataforma para pesquisa, analise e retencao.
Como funciona Agregacao de logs?
A agregacao de logs consiste em enviar os registos de servidores, endpoints, servicos cloud, equipamentos de rede e aplicacoes para um repositorio central, como um SIEM ou um data lake. Agentes ou relays syslog recolhem os eventos brutos, normalizam-nos num esquema comum, enriquecem-nos com metadados e gravam-nos em armazenamento indexado para que os analistas consultem todo o ambiente. E a base da detecao, do threat hunting, da resposta a incidentes e da retencao para conformidade. As preocupacoes operacionais incluem sincronizacao temporal, cobertura de fontes, qualidade do parsing, custo de armazenamento e integridade dos logs.
Como se defender contra Agregacao de logs?
As defesas contra Agregacao de logs costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Agregacao de logs?
Nomes alternativos comuns: Centralizacao de logs, Recolha de logs.
● Termos relacionados
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza e correlaciona telemetria de segurança em toda a organização para deteção, investigação, conformidade e reporting.
- forensics-ir№ 627
Análise de registos
Revisão sistemática de registos de sistema, aplicações e segurança para detetar, investigar e reconstruir eventos relevantes para a segurança.
- defense-ops№ 628
Correlacao de logs
Unir eventos de varias fontes de logs por campos comuns, janelas temporais ou sequencia para revelar atividade em varias fases que um unico log nao mostra.
- defense-ops№ 416
Monitoramento de Integridade de Ficheiros (FIM)
Controlo de seguranca que deteta alteracoes inesperadas em ficheiros criticos de sistema, aplicacao e configuracao comparando-os com uma baseline criptografica conhecida.
- forensics-ir№ 524
Resposta a incidentes
Processo organizado para preparar, detetar, analisar, conter, erradicar e recuperar de incidentes de cibersegurança, capturando lições aprendidas.