Você tem uma ferramenta de analytics, como as soluções da Splunk oferecidas pela PROOF, mas a grande quantidade de alertas diários está distraindo sua equipe e obrigando seus profissionais de segurança da informação a ignorá-los?

Há várias maneiras de transformar o “barulho” constante de sua ferramenta de analyitcs em um número reduzido de alertas que fazem sentido e merecem uma investigação mais detalhada. As ferramentas da Splunk, por exemplo, contêm uma série de comandos de busca para ajudar a detectar anomalias.

No início, os primeiros alertas serão resultado de buscas por erros. Por isso, de início, os administradores podem receber uma série de e-mails com os resultados encontrados.

Para reduzir a quantidade de alarmes, geralmente os profissionais optam por definir um número específico de vezes que um erro deve se repetir para que o sistema dispare um alerta. No início, essa tática pode dar certo, no entanto, em pouco tempo essa configuração não será o suficiente, tentando os profissionais de segurança a aumentar ainda mais a tolerância ao erro.

Essa tática não é eficaz porque não leva em consideração os momentos de pico de uso. Nos períodos em que há pouco uso, por exemplo, uma tolerância muito grande a erros pode fazer com que os profissionais fiquem na ignorância. Por outro lado, durante os picos, os alarmes podem ser frequentes demais.

Saiba como reduzir os alarmes sem afetar a visibilidade proporcionada pelas ferramentas de analytics:

Estude a rede

Para definir as melhores configurações para a ferramenta de analytics e evitar o barulho constante dos falsos alarmes, os profissionais de segurança da informação devem ter um profundo conhecimento da rede em seu estado normal. Só assim poderão determinar níveis de tolerância à incidência de diferentes erros e uma porcentagem segura em relação a todos os eventos de atividades registrados em um determinado período de tempo.

Aprendizado de máquina

Softwares com tecnologia de aprendizado de máquina, como o Splunk UBA, são capazes de analisar milhares de métricas e dados de log para identificar eventos anômalos e classificá-los de acordo com sua gravidade, raridade ou número de anomalias relacionadas.

Mesmo que seu ambiente já conte com uma solução de SIEM para monitorar o ambiente, uma solução de user behaviour analytics (UBA) pode ser um grande diferencial na hora de criar as regras para a geração de alertas, pois mostra à ferramenta o que deve ser procurado. Além disso, o UBA permite detectar e responder a comportamentos maliciosos que passam despercebidos pelo SIEM.