SIEM
O que é SIEM?
SIEMPlataforma que agrega, normaliza e correlaciona telemetria de segurança em toda a organização para deteção, investigação, conformidade e reporting.
Um SIEM (Security Information and Event Management) é a plataforma central de análise de logs do SOC. Ingere logs e telemetria de firewalls, endpoints, fornecedores de identidade, APIs de nuvem, aplicações e sensores de rede, normaliza-os e armazena-os, permitindo que regras de correlação, baselines estatísticos e modelos de machine learning produzam alertas priorizados. SIEM modernos (Splunk, Microsoft Sentinel, Elastic, Chronicle, QRadar) também suportam detection-as-code, UEBA, enriquecimento por threat intelligence e integração com SOAR para resposta automatizada. O SIEM é o sistema de registo para investigações, relatórios de conformidade e retenção forense de longo prazo.
● Exemplos
- 01
Microsoft Sentinel correlacionando falhas de login no Azure AD com alertas de EDR para detetar password spraying.
- 02
Uma pesquisa de correlação no Splunk que dispara quando uma conta de serviço inicia sessão a partir de um país invulgar.
● Perguntas frequentes
O que é SIEM?
Plataforma que agrega, normaliza e correlaciona telemetria de segurança em toda a organização para deteção, investigação, conformidade e reporting. Pertence à categoria Defesa e operações da cibersegurança.
O que significa SIEM?
Plataforma que agrega, normaliza e correlaciona telemetria de segurança em toda a organização para deteção, investigação, conformidade e reporting.
Como se defender contra SIEM?
As defesas contra SIEM costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.