Correlacao de logs
O que é Correlacao de logs?
Correlacao de logsUnir eventos de varias fontes de logs por campos comuns, janelas temporais ou sequencia para revelar atividade em varias fases que um unico log nao mostra.
A correlacao de logs e feita por motores de regras de SIEM e pipelines de detecao que ligam eventos relacionados entre hosts, utilizadores e sensores de rede. As regras tipicamente fazem join por identificadores como utilizador, IP de origem, nome de host ou hash de processo e aplicam restricoes temporais (por exemplo cinco logins falhados seguidos de um bem-sucedido em dez minutos). Motores com estado seguem sessoes, contam ocorrencias e disparam alertas quando o padrao e detetado. Uma boa correlacao reduz o ruido face a assinaturas unitarias e expoe a progressao da kill chain. Desafios incluem normalizacao de esquemas, desvios de relogio, chaves de alta cardinalidade e regras que generalizem.
● Exemplos
- 01
Correlacionar o clique num e-mail de phishing com uma anomalia de processo filho no mesmo posto em quinze minutos.
- 02
Ligar um login VPN a partir de um novo pais com a atribuicao de uma funcao privilegiada na cloud.
● Perguntas frequentes
O que é Correlacao de logs?
Unir eventos de varias fontes de logs por campos comuns, janelas temporais ou sequencia para revelar atividade em varias fases que um unico log nao mostra. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Correlacao de logs?
Unir eventos de varias fontes de logs por campos comuns, janelas temporais ou sequencia para revelar atividade em varias fases que um unico log nao mostra.
Como funciona Correlacao de logs?
A correlacao de logs e feita por motores de regras de SIEM e pipelines de detecao que ligam eventos relacionados entre hosts, utilizadores e sensores de rede. As regras tipicamente fazem join por identificadores como utilizador, IP de origem, nome de host ou hash de processo e aplicam restricoes temporais (por exemplo cinco logins falhados seguidos de um bem-sucedido em dez minutos). Motores com estado seguem sessoes, contam ocorrencias e disparam alertas quando o padrao e detetado. Uma boa correlacao reduz o ruido face a assinaturas unitarias e expoe a progressao da kill chain. Desafios incluem normalizacao de esquemas, desvios de relogio, chaves de alta cardinalidade e regras que generalizem.
Como se defender contra Correlacao de logs?
As defesas contra Correlacao de logs costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Correlacao de logs?
Nomes alternativos comuns: Correlacao de eventos, Regra de correlacao.
● Termos relacionados
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza e correlaciona telemetria de segurança em toda a organização para deteção, investigação, conformidade e reporting.
- defense-ops№ 626
Agregacao de logs
Recolha, normalizacao e armazenamento centralizado de registos de eventos de varios sistemas numa unica plataforma para pesquisa, analise e retencao.
- defense-ops№ 307
Engenharia de detecao
Disciplina de desenhar, testar, implantar e manter detecoes de seguranca como codigo, com cobertura mensuravel das tecnicas adversarias.
- defense-ops№ 1147
Caça a Ameaças
Busca proativa e orientada por hipóteses na telemetria para encontrar ameaças que escaparam das detecções existentes.
- defense-ops№ 1062
SOAR
Plataforma que automatiza e orquestra workflows do SOC, encadeando deteções, enriquecimentos e ações de resposta em playbooks executados nas várias ferramentas de segurança.