Seis mitos

sobre
SIEM
Explorando os 6 mitos sobre SIEM
Você procurou saber sobre soluções SIEM recentemente?
Pois as coisas mudaram.
Há rumores de que as soluções SIEM são desajeitadas e complexas e,
portanto, exclusivas para grandes organizações. É verdade, algumas
soluções SIEM enquadram-se exclusivamente na categoria corporativa,
mas este mito ignora as soluções SIEM mais inovadoras, concebidas para
empresas de todos os portes.

Não é segredo que o setor de segurança cibernética está enfrentando uma

grande escassez de talentos. As soluções de segurança — e outras — devem
ser projetadas para permitir que você seja eficaz em seu trabalho, apesar
de sua (provável) limitação de recursos.

Vamos abordar os seis principais mitos sobre SIEM e investigar o que você
deve esperar de um SIEM hoje.
Mito n. 1 o
Um SIEM só detecta ameaças conhecidas; não é útil com ameaças
desconhecidas.

As soluções SIEM só usam correlação para detectar ameaças. Para redigir uma
regra de correlação eficaz, você primeiro precisa saber o que procurar.

Realidade
SIEMs eficientes usam uma combinação de correlação em tempo real, detecção
de anomalias, aprendizagem de máquina e análise comportamental para
detectar tanto ameaças conhecidas como desconhecidas.

Eles também usam correlação avançada para ligar os pontos e compreender

atividades ameaçadoras relacionadas. Quando uma combinação de análises
avançadas e correlação em tempo real já está pré-incorporada em seu SIEM,
ela pode ser aplicada de forma imediata à atividade de rede, ativos,
usuários e aplicações, para que você possa ir muito além
das ameaças conhecidas e também identificar atividades
anormais que possam sugerir ameaças desconhecidas.
Mito n. 2 o
SIEMs são apenas para grandes empresas, com equipes de segurança sofisticadas.

Segundo o senso comum, como as melhores soluções SIEM do mercado podem ser
dimensionadas para atender às maiores organizações, elas são destinadas apenas
às maiores organizações.

Realidade
As melhores soluções SIEM atendem a uma vasta gama de organizações, independentemente
de ser uma empresa em crescimento que esteja apenas iniciando o monitoramento de
segurança, ou uma empresa global da Fortune 20 que necessita de casos de uso avançados.
A verdade é que, enquanto muitas equipes de segurança avançadas preferem inúmeros
recursos supérfluos para atender a casos de uso avançados e especializados, um bom SIEM
não requer recursos supérfluos para agregar valor. Uma solução ideal ajuda você a começar
imediatamente com casos de uso padrão, tais como detecção de ameaças,
monitoramento de nuvem e relatórios de compliance. Conforme
sua rotina amadurece e seu negócio cresce, seu SIEM deve
ser escalado para dar suporte a mais ambientes,
múltiplas geografias e casos de uso avançados,
tais como inspeção profunda de pacotes, análise
de DNS e orquestração de segurança, automação
e resposta (SOAR, security orchestration,
automation and response)
firmemente integradas.
Mito n. 3 o
SIEMs demandam uma grande quantidade de dados e o custo para coletar todos esses
dados é extremamente alto.

Como certos fornecedores no mercado são conhecidos por se tornarem proibitivamente

caros muito rapidamente, algumas equipes de segurança assumem que todos os SIEMs
também são assim.

Realidade
Se você estiver considerando fornecedores que cobram com base na quantidade
de dados armazenados, isso poderá ficar muito caro, muito rapidamente. Mas
diferentes fornecedores cobram por suas soluções de formas diferentes.

Antes de se comprometer com qualquer coisa, pense em quais problemas

você está tentando resolver: Você é um varejista que precisa proteger dados de
cartões usados para pagamento? Sua empresa está migrando para a Amazon Web
Services e você precisa de visibilidade para esse novo ambiente? Os dados que
você coleta para fins de segurança deveriam ajudar você a resolver seus casos
de uso exclusivos. Não se deixe levar pela tendência de analisar tudo se você
não precisa analisar tudo. Dito isto, se você também tiver requisitos de retenção
de dados, graças a regulamentos ou políticas organizacionais, seu fornecedor
de SIEM deverá ser capaz de oferecer uma opção de baixo custo apenas para
armazenamento, pesquisa e relatórios. Analisando apenas o que é importante
para sua organização particular e enviando o resto de seus dados de log e eventos
para armazenamento de baixo custo, você pode contratar um projeto SIEM sem
que ele consuma todo o seu orçamento.
Mito n. 4 o
Você precisa de uma equipe de cientistas de dados em tempo integral para que um
SIEM seja eficaz.

Dizem frequentemente que, para um SIEM ser eficaz, você precisará de um

cientista de dados em tempo integral (ou uma equipe deles) para criar todas
as regras e análises do zero.

Realidade
Se você não pode (ou não quer) encontrar e pagar por uma equipe de cientistas
de dados que também entendem de segurança, procure um fornecedor que
disponibilize conteúdo pronto para uso imediato.

Alguns fornecedores adotam a abordagem de que, como a solução

provavelmente será personalizada de qualquer forma, por que não começar com
uma folha em branco? Na prática, as equipes de segurança hoje simplesmente
não têm os recursos para assumir um projeto tão grande, que requer habilidades
tão especializadas. Seja qual for a solução SIEM, você precisará fornecer a ela
informações sobre sua rede. Porém, depois que isso for feito, você deverá poder
aproveitar regras pré-escritas, análises e políticas de correlação para começar
a detectar as ameaças imediatamente. Você não precisa começar com uma folha
em branco. E se você ainda estiver preocupado, muitos fornecedores de SIEM
têm parcerias com fornecedores de serviços de segurança gerenciados (MSSPs,
managed security service providers) para que você obtenha todos os benefícios
de um SIEM progressivo, com o benefício adicional de contar com a assistência
de especialistas em operações de segurança.
Mito n. 5 o
Um stack de gerenciamento de logs pode proporcionar a mesma visibilidade de um SIEM.

O marketing criativo dos fornecedores de gerenciamento de log e data lake faria você
acreditar que as soluções de gerenciamento de log são superiores às de SIEM para
encontrar e investigar ameaças.

Realidade
As ferramentas de gerenciamento de logs podem alcançar o compliance e auditar casos de
uso, mas ficam aquém das análises e alertas em tempo real.

O gerenciamento de logs foi uma solução para um problema que já durava uma década –
as empresas precisavam de soluções para atender às auditorias da Sarbanes Oxley (SOX),
Payment Card Industry (PCI) e outras regulamentações do setor. Os stacks de gerenciamento
de logs ressurgiram nos últimos anos devido às elevadas reivindicações de busca e indexação
de petabytes, porém a falta de análise em tempo real impõe uma quantidade desproporcional
de tarefas de detecção manual – quer seja para consultar, pivotar ou procurar ameaças –
ao seu já limitado pessoal.

A maioria dos fornecedores de SIEM oferece uma camada de gerenciamento de logs ou data
lake como parte da solução para agregação, análise e armazenamento. Muitas vezes, a camada
de gerenciamento de logs pode ser licenciada separadamente do SIEM, permitindo às equipes
estabelecer um data lake de segurança com um modelo de preços baseado em host econômico
e previsível. O valor incremental do SIEM está na análise pronta para uso (correlação em tempo real,
aprendizagem de máquina etc.) que dá conta do trabalho pesado de monitoramento e detecção.
Simplificando, o gerenciamento de logs não é um SIEM por si só, mas um recurso de um SIEM.
Mito n. 6 o
SIEMs são difíceis de integrar com outras soluções em meu ambiente.

SIEMs têm a reputação de serem difíceis de integrar com outras soluções,

apesar de utilizarem dados advindos de outras soluções para agregar valor.

Realidade
As principais soluções SIEM precisam ser fáceis de integrar – e, felizmente, muitas delas são.

Os primeiros SIEMs que chegaram ao mercado há uma década, e que não conseguiram evoluir com a mudança das
necessidades e a evolução da tecnologia, são difíceis de integrar. No entanto, esses players ou estão completamente fora do
mercado ou estão tendo muitas dificuldades agora. As soluções líderes oferecem hoje centenas de integrações prontas com
tecnologias comerciais de TI e OT, e oferecem conectores simples para integrar e analisar logs de aplicações personalizadas.
Se você estiver curioso sobre as integrações que existem – e são totalmente suportadas pelos fornecedores – verifique os
diferentes sites de suporte ao cliente dos fornecedores ou navegue em suas app exchanges.

Os estereótipos que existem hoje tendem a se basear em tecnologia ultrapassada. Se você avaliou uma
solução SIEM dez ou mesmo cinco anos atrás, muitos dos principais mitos eram verdadeiros naquele
momento. Mas, na mesma medida em que a tecnologia e os cenários de ameaça evoluíram,
o mesmo aconteceu com os SIEMs.

Se você estiver com dificuldades para detectar ameaças ou entender o conteúdo

do seu gerenciador de logs, talvez hoje seja o dia de dar outra olhada nas
soluções SIEM e descobrir você mesmo o quanto elas mudaram.
Sobre o IBM Security QRadar
Gerencie defesas contra ameaças crescentes com o IBM Security QRadar, a solução
de gerenciamento de eventos e informações de segurança (SIEM) líder de mercado.
Evolua e escale as operações de segurança por meio de visibilidade integrada, detecção,
investigação e resposta. Obtenha visibilidade completa do seu ambiente e aplique
análises avançadas para priorizar suas ameaças mais críticas. Com o QRadar, você
pode escalar rapidamente com suporte pronto para uso para milhares de casos de uso
de segurança e integrações. Detecte ameaças em tempo real com análises avançadas
e inteligência de ameaças incorporada com profundo conhecimento de anos protegendo
empresas da Fortune 100. O QRadar pode ajudar você a acelerar a conformidade
e gerenciar risco regulatório com suporte para RGPD, ISO 27001, HIPAA e outros.
Aproveite o IBM Watson para forçar a multiplicação de equipes de segurança com
investigações orientadas por IA que priorizam e automatizam a triagem – resultando em
uma melhoria de até 60x na velocidade de investigação. Por fim, responda às ameaças
com mais rapidez e eficiência com orquestração e automação, gerenciamento de casos
e playbooks dinâmicos fornecidos através da integração firme com o IBM Security SOAR.

Leia mais em www.ibm.com/qradar.

© Copyright IBM Corporation 2020

IBM Corporation
New Orchard Road
Armonk, NY 10504

Produzido nos Estados Unidos da América

Setembro de 2020

IBM, o logotipo da IBM, ibm.com e IBM Security são marcas registradas da International Business Machines
Corp., registrada em muitas jurisdições no mundo inteiro. Outros nomes de produtos e serviços podem ser marcas
registradas da IBM ou de outras empresas. Uma lista atual de marcas registradas da IBM está disponível na web
em “Copyright and trademark information” em ibm.com/legal/copytrade.shtml.

Este documento é atual na data inicial de publicação e pode ser alterado pela IBM a qualquer momento.
Nem todas as ofertas estão disponíveis em todos os países em que a IBM opera.

Os dados de desempenho e os exemplos de clientes citados são apresentados apenas para fins ilustrativos.
Os resultados reais de desempenho podem variar de acordo com configurações e condições operacionais
específicas.

AS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO SÃO FORNECIDAS “AS IS” SEM GARANTIA ALGUMA,
EXPRESSA OU IMPLÍCITA, INCLUSIVE SEM QUALQUER GARANTIA DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UMA
FINALIDADE ESPECÍFICA E QUALQUER GARANTIA OU CONDIÇÃO DE NÃO INFRAÇÃO. Os produtos IBM são
garantidos de acordo com os termos e as condições dos acordos sob os quais eles são fornecidos.

O cliente é responsável por garantir o cumprimento das leis e regulamentos a ele aplicáveis. A IBM não fornece
consultoria jurídica nem representa ou garante que seus serviços ou produtos garantirão que o cliente esteja em
conformidade com qualquer lei ou regulamento.

Statement of Good Security Practices: IT system security involves protecting systems and information through
prevention, detection and response to improper access from within and outside your enterprise. Improper
access can result in information being altered, destroyed, misappropriated or misused or can result in damage
to or misuse of your systems, including for use in attacks on others. No IT system or product should be
considered completely secure and no single product, service or security measure can be completely effective
in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful,
comprehensive security approach, which will necessarily involve additional operational procedures, and
may require other systems, products or services to be most effective. IBM DOES NOT WARRANT THAT ANY
SYSTEMS, PRODUCTS OR SERVICES ARE IMMUNE FROM, OR WILL MAKE YOUR ENTERPRISE IMMUNE FROM,
THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.