Todos sabem da importância do gerenciamento de logs na segurança de TI. No entanto, as organizações lutam para implementar técnicas eficazes de gerenciamento de logs em suas redes. Esta série de posts visa rever os fundamentos do gerenciamento de logs e discutir os diferentes eventos de segurança que você precisa acompanhar em cada um dos diferentes sistemas em seu ambiente.
Os regulamentos de conformidade, como o PCI DSS, exigem que as organizações revejam os eventos de segurança que ocorrem em suas redes diariamente, o que destaca a importância de automatizar o gerenciamento de logs. A revisão de eventos de segurança permite que as equipes de segurança analisem tendências e sinalizem anomalias, que podem ser usadas para investigação e ajudar a evitar violações. Por exemplo, um aumento repentino no número de eventos de segurança gerados pode significar que um sistema foi comprometido. É aqui que entram ferramentas de auditoria especializadas para informações de segurança e gerenciamento de eventos (SIEM). Uma solução SIEM pode gerar relatórios cruciais para revisar eventos de segurança de interesse e também acionar alertas ao detectar ameaças de segurança.
Quando se trata de servidores, é importante rastrear eventos com base na gravidade, o que significa que você deve verificar eventos como falha, aviso e erro, primeiro. Em seguida, você pode voltar sua atenção para outros eventos críticos, como falhas de sistema ou aplicações, e verificar se algum deles precisa de mais investigação.
Aqui estão alguns outros eventos básicos de interesse que você deve ficar de olho:
Startups, desligamentos, reinicializações e outros eventos do sistema. Eventos suspeitos do sistema, como paralisações ou reinicializações repetidas, podem indicar um host comprometido.
Instalação de software ou serviços. Este é um bom exemplo de um cenário em que você precisa de um alerta. Porque, pergunte-se: você instala constantemente novos softwares e serviços em seus servidores importantes?
Erros de aplicativo, incluindo aplicativos que estão pendurados ou falhando. Isso é importante não apenas por um aspecto de segurança, mas também para manter a disponibilidade.
Registrando processos que estão sendo interrompidos ou descontinuados. Os invasores sabem da importância das trilhas de auditoria nas investigações de segurança e tentam desabilitar o registro antes de realizar um ataque para ocultar seus rastros.
Verifique se você está acompanhando esses eventos executando relatórios diariamente para obter operações de segurança sem problemas. Se você quiser dar um passo adiante, pode integrar sua solução SIEM a uma ferramenta de emissão de tickets para que os alertas de segurança sejam atribuídos automaticamente como tickets ao administrador designado. Isso garante que os eventos críticos de segurança recebam atenção imediata e haja um processo de resolução responsável.
ACS Pro Revendedor Autorizado ManageEngine e Zoho no Brasil.
Fone / WhatsApp (11) 2626-4653.
