Saiba como tirar o máximo de arquivos de logs

Cada vez mais os logs são usados para revisar informações de segurança. No entanto, sistemas de TI complexos têm centenas, até milhares, de diferentes arquivos de logs, cada um contendo substanciais quantias de dados, que podem ou não ser relevantes para a operação e a segurança do negócio.

O gerenciamento de logs é uma questão de gerenciamento de conteúdo e big data. Tudo do em um sistema gera logs, o que torna sua coleta e estudo incrivelmente difíceis – especialmente quando é preciso gerar insights rapidamente. Administradores de TI frequentemente ignoram esses logs gerados automaticamente – até que o sistema caia.

Os logs podem ser usados pelo gerente de segurança para construir resiliência segura por meio de ajustes ou endurecimento de políticas ou reforço e medida da efetividade das metodologias atuais. Os logs oferecem uma maneira útil de identificar necessidades de treinamento ou influenciar decisões relacionadas a filtros de conteúdo e acesso apropriado a internet, mídias sociais ou áreas sensíveis da rede.

Logs para segurança

O gerenciamento e correlação de eventos de segurança (SIEM) oferece uma maneira automatizada de unir todos os dados de log de uma rede e suas ferramentas de segurança para então condensá-los em algo gerenciável.

Ferramentas de SIEM são praticamente uma maneira de detectar, responder e prevenir incidentes em um ambiente concorrido e rápido. São uma maneira de detectar anomalias e ataques à rede comparando o tráfego atual à média em tempo real. Notificações podem ser enviadas à equipe de segurança para que possam responder e corrigir vulnerabilidades.

A funcionalidade do SIEM pode ser estendida à automatização de ações. Se o SIEM, por exemplo, detecta uma taxa de acesso anormal de uma máquina, pode entender esse padrão de tráfrgo e automaticamente bloqueá-lo caso a ação seja detectada novamente.

Um gerenciamento de logs e um programa de inteligência podem beneficiar a resposta aos incidentes, saindo do modo reativo para proativo.

O Splunk é ágil em obter dados e fazer análises em tempo real. Isso, combinado com a expertise dos analistas da PROOF, permite identificar qualquer eventual brecha de segurança no seu ambiente. Entre os benefícios está a detecção de fraude. Com correlações em tempo real de qualquer anomalia detectada, é possível identificar rapidamente e gerar alertas de fraude, inibindo-a antes que ocorra.

Com ComputerWeekly