Análise de registos
O que é Análise de registos?
Análise de registosRevisão sistemática de registos de sistema, aplicações e segurança para detetar, investigar e reconstruir eventos relevantes para a segurança.
A análise de registos examina os eventos produzidos por sistemas operativos, equipamentos de rede, aplicações e ferramentas de segurança — Windows EVTX, syslog/journald do Linux, registos de acesso de servidores web, fluxos de firewall, telemetria EDR e trilhas de auditoria na nuvem como AWS CloudTrail ou Microsoft 365 Unified Audit Log. Os analistas analisam, normalizam e correlacionam estas fontes, normalmente num SIEM, para identificar anomalias de autenticação, execução de comandos, movimento lateral e exfiltração. Ferramentas comuns incluem Splunk, Elastic, Chainsaw, Hayabusa, EvtxECmd e regras Sigma. A eficácia depende de sincronização horária correta, retenção adequada e baseline do comportamento normal.
● Exemplos
- 01
Caçar Kerberoasting analisando o evento 4769 do Windows no Splunk.
- 02
Correlacionar falhas de ConsoleLogin do AWS CloudTrail com logins bem-sucedidos a partir de um novo IP.
● Perguntas frequentes
O que é Análise de registos?
Revisão sistemática de registos de sistema, aplicações e segurança para detetar, investigar e reconstruir eventos relevantes para a segurança. Pertence à categoria Forense e resposta da cibersegurança.
O que significa Análise de registos?
Revisão sistemática de registos de sistema, aplicações e segurança para detetar, investigar e reconstruir eventos relevantes para a segurança.
Como se defender contra Análise de registos?
As defesas contra Análise de registos costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Análise de registos?
Nomes alternativos comuns: Análise de eventos, Revisão de logs de segurança.