Implementação SOC/SIEM com ferramentas Open Source

Alexandre Felipe Marchese, Jaime Aquino Saldanha, Monique Leopoldo Crovato

Faculdade Impacta de Tecnologia

São Paulo – SP – Brasil
ale.new8@gmail.com, jaime.aquino.saldanha@gmail.com,
monykeleopoldo@gmail.com
Abstract. This article addresses the creation of a SOC and SIEM using totally Open
Source tools in order to help companies that are concerned about the security of
their information and data, but do not have the necessary resources for such an
implementation with tools from private companies.
Resumo. Este artigo aborda a criação de um SOC e SIEM utilizando ferramentas
totalmente Open Source com o objetivo de ajudar as empresas que estão
preocupadas com a segurança de suas informações e dados, porém não dispõem
de recursos necessários para tal implementação com ferramentas e licenças de
empresas privadas.

1. Introdução
Apresentamos neste artigo que é possível implementar soluções Open Souces para
empresas que precisam reforças seus sistemas de segurança e até mesmo implementá-las do
zero, necessitando apenas das configurações necessárias para sua integração e por fim obter
resultados significativos para estas organizações que por sua vez tem o objetivo de
acompanhar necessidades que vem crescendo ao longo dos anos no que se refere a proteção
contra roubo de dados e informações, ou seja, através de ferramentas disponíveis no mercado
de forma gratuita é possível estruturar, implementar e configurar um sistema SOC / SIEM,
visando a mitigação do vazamento de informações sigilosas que as empresas possuem.
Ultimamente vemos com mais frequência em noticiários, fóruns e sites voltados para
este assunto que os ataques que antes eram casos isolados ou de baixa recorrência se
transformarem em parte do cotiado não só de empresas de grande porte, haja viste que, os
cibercriminosos abriram seus leques e estenderam seus ataques à empresas menores ou que
possam esboçar qualquer interesse com o intuito de afetar não só a entidade em questão, mas
suas coligadas transformando um ataque que seria em pequena para larga escala.
As empresas precisam se proteger o máximo possível, pois os dados são informações
cruciais para a continuidade e longevidade de seus negócios, muitas vezes estes dados são
compostos de informações privadas, parceiros e clientes, acarretando perdas catastróficas
para todos os envolvidos. Os dados fazem parte do patrimônio de uma organização.
1.1. Apresentação do Problema
Cybercrimes estão ficando cada vez mais recorrentes nos últimos anos, sendo
possível notar um aumento significativo de incidentes relatados pelo CSITs ao site Cert.br
entre os meses de Janeiro a Abril em comparativo ao ano de 2022 e 2023. Com o objetivo de
elucidar de uma forma mais assertiva, na tabela abaixo serão explanados os números destes
incidentes relatados.

Figura 1. Estáticas categorizadas dos incidentes relatados pela CSIRTs ao site Cert.br entre
Janeiro a Dezembro de 2022

Embora tenhamos os dados a partir do mês de Maio de 2022 iremos focar somente
até o mês de Abril, pois seguiremos de acordo com os dados também obtidos em 2023 para
realizar com precisão os resultados desta conferência.
A somatória total de casos relatados entre os meses de Janeiro a Abril de 2022 é de
126.853, em que a técnica de “Scan” obtém o percentual mais elevado em relação não só a
todos os meses aos quais estamos analisando, mas cerca de todas a técnicas devidamente
catalogadas (DoS, Fraude, Invasão, Web e Outros) na tabela.
Importante ressaltar que embora a técnica de “Scan” pareça inofensiva no primeiro
momento e não realize grandes estragos comparado a uma invasão via ransomware ao qual
muitas vezes é solicitado altas quantias para resgate dos dados sequestrados, o que também
deve ser levado em consideração a multa imposta por órgãos governamentais, assim como
um prejuízo que não se limita somente a dinheiro, haja vista que a imagem da marca é
manchada não somente diante a mídia, mas consequentemente aos seus clientes, a longo
prazo o ‘Scan” pode se tornar tão prejudicial quanto, porque neste meio é sabido que para
que um ataque seja bem sucedido é necessário descobrir as fraquezas do seu alvo antes de
realizar qualquer movimento e para isso muitos cibercriminosos se utilizam dessa técnica
para averiguar os pontos fracos dos seus alvos aos quais será possível explorar, e é através
dessas brechas que muitas empresas acabam recebendo prejuízos que podem alcançar a casa
de bilhões de reais e dependendo da nacionalidade do atacante, dólares.

Figura 2. Estáticas categorizadas dos incidentes relatados pela CSIRTs ao site Cert.br entre
Janeiro a Abril de 2023
Na continuidade da averiguação dos dados demonstrados, a técnica de “Scan”
continua alcançando picos que ultrapassam 70% dos casos comparados aos demais
ataques no ano seguinte, o que em 2022 chegou-se a 126.853 relatos em 2023 houve um
aumento exorbitante nos números atingindo o total 202.621 incidentes relatados, um
crescimento de 75.768 de incidentes, representando 59,73% a mais entre um ano e outro.
É necessário levar em consideração que estamos examinando somente os dados
divulgados e expressados nas tabelas, porém estes números não são concretos, haja vista
que, existem casos aos quais não estão representados o que nos possibilita ter um
vislumbre do que seria o cenário total dos reais números de ciberataque realizados, sejam
eles bem-sucedidos ou não.

1.2. Objetivos
Os objetivos deste projeto é implementar dois seguimentos e suas ferramentas
voltados para defesa cibernética com o intuito de mitigar ataques cibernéticos que
possam ocorrer nas corporações, sendo eles:
● System On Chip (SOC)
○ TheHive;
○ Cortex;
○ MISP.

● Security Information and Event Management (SIEM)

○ Kibana;
○ ElastSearch;
○ Beats;
○ Alerta de E-mails;
○ Wazuh.

1.3. Justificativa
Mediante os dados de incidentes levantados pela CSIRTs e devidamente analisados
através da tabela disponibilizada pelo site Cert.br, iremos estender tais estatísticas a outra
empresa de renome a qual está diretamente ligada a soluções voltadas a prevenção de intrusão
e segurança de dispositivos de usuários, Fortinet.
De acordo com a Fortinet, o Brasil registrou no primeiro semestre de 2022, 31,5
bilhões de tentativas de ataques cibernéticos a empresas. O número é 94% superior na
comparação com o primeiro semestre do ano passado, quando foram 16,2 bilhões de
registros, estes dados foram coletados pelo laboratório de inteligência e ameaças, FortiGuard
Labs.
O constante crescimento desta prática criminosa que em grande parte envolve o roubo
de dados, advém da lucratividade que traz aos criminosos, dado que o valor imposto para a
devolução dos dados sequestrados são valores tão exorbitantes que podem causar não só um
prejuízo significativo, como uma possível falência do negócio, sem mencionar as demandas
jurídicas aos quais a empresa precisará resolver.
Além dos pontos descritos acima, existe o aspecto de espionagem que recentemente
estão sendo expostos, embora sua existência não seja exclusiva dos anos atuais e sua
aplicação tenha ocorrido até mesmo nas primeiras guerras mundiais, é notório que houve
uma evolução nos métodos empregados, tanto que notícias de países se infiltrando em redes
externas a seu território vem se tornando algo rotineiro. Tendo isso em vista não é surpresa
que as guerras se estenderam as redes, onde as armar derem lugar a uma guerra cibernética,
como vimos ocorrer entre Ucrânia e Rússia, bem como os demais países envolvidos de forma
indireta.
2. Estudo de Viabilidade
O cenário do tema segurança, começou a mudar após a pandemia, posto que, as
empresas tratavam este assunto como segundo plano, uma aplicação de capital que parecia
não trazer retornos esperando ou que não se fazia tão necessário, com este cenário os valores
dos investimentos totais em tecnologia correspondiam a 10%, sendo que em outros países,
as empresas destinam cerca de 25% a 30% em tecnologia para cibersegurança, bem maior.
Com a criação da LGPD (Lei Geral de Proteção de Dados), Lei nº 13.709, de 14 de
agosto de 2018 com o início de seu vigor em setembro de 2020, aprovada pelo Decreto nº
9.637/2018, a Política Nacional de Segurança da Informação (PNSI) que abrange segurança
cibernética, defesa cibernética, segurança física e a proteção de dados organizacionais,
começou a cobrar das instituições a responsabilidade de garantir a segurança dos dados
pessoais aos quais diversas empresas os tem como parte do seus banco de dados.
Atualmente quando há um vazamento de dados as organizações têm por obrigação
prestar esclarecimentos da magnitude deste vazamento e o quanto ele será prejudicial aos
cidadãos que tiveram suas informações roubadas e que poderão ser utilizadas sem o
consentimento destes, as vítimas em questão poderão deter de eventuais situações as quais
seus dados foram usados indevidamente para fins ilícitos. Essas graves violações de
privacidade incentiva a criação de grupos ativistas como o “Anonymous” em que seu objetivo
assim como seus demais semelhantes não é lucrar financeiramente e sim lutar por uma causa
que para estes faz sentido.
No que se refere as informações obtidas através dos artigos consultados para
verificação da viabilidade deste projeto ao qual tem por intuito a criação de SOC/SIEM com
ferramentas Open Source, foi notória que em sua grande maioria não houve a evidenciação
mais precisa dos resultados obtidos com a ferramentas citadas ou uma orientar mais concreta
aos interessados em usufruir deste conceito, existem menções de quais ferramentas e sua
utilidade de forma geral, visando uma perspectiva macro do objetivo em si.
2.1. Soluções de Mercado e seu Projeto
No mercado quando citam o assunto segurança da informação, o senso comum
automaticamente relaciona este termo a soluções de antivírus, como que esta solução vendida
no mercado se abrangessem todas as necessidades de mitigação de ataques como
ransomware, worms, vírus, cavalo de tróia, phishing, spyware e demais códigos maliciosos
que possam tentar infectar os aparelhos das companhias.
Empresas de antivírus comumente realizam recomendações de criação de senhas
fortes, manter softwares sempre atualizados e realizar a compra ou utilizar preferencialmente
de softwares confiáveis, além de oferecem serviços de cofre de senhas, anonimato na
navegação para evitar que as páginas utilizem seus cookies para fornecer produtos e em
alguns casos VPN para camuflar sua real localização.
As desvantagens que essas empresas possuem é a dificuldade de lidar com ataques
em tempo real, Zero day, novos códigos maliciosos criados que ainda não foram detectados
e devidamente inclusos em seu banco de dados, assim como a forma de proteger seus clientes
Além de não conseguir dar um suporte caso a empresa tenha seu ambiente comprometido,
haja vista que, estas soluções de certa forma funcionam melhor como ferramentas de
prevenção na maioria dos cenário que envolve uma invasão.
Fica evidente que obter uma equipe especializada com ferramentas de monitoração,
métodos de prevenção eficaz e eficientes, que possam realizar um mapeamento de riscos,
elaboração de documentações, engenharia reversa, análise de códigos maliciosos e demais
medidas importantes. Esta equipe munida de softwares voltados para uma segurança
aprimorada que irá fornecer recursos para mitigar e aplicar medidas preventivas superior aos
empregados pela empresas de antivírus, assim como a criação de war room que é primordial
para contra atacar ou defender em tempo real eventuais ataques que possam ocorrer.
Além dos pontos discutidos no tópico anterior, é importante ressaltar que apuramos
a falta de explicações assertivas no que diz respeito a integração realizada entre as
ferramentas de cibersegurança, posto que, apresentam de forma mais detalhadas as
ferramentas que o mercado dispões, contudo não é especificado como funcionam em
conjunto, quais as configurações necessárias e onde cada aresta ne conecta.
3. Arquitetura da Solução
Nessa seção deve ser descrita toda a arquitetura tecnológica da solução proposta.
Muito do conteúdo dessa seção vai estar presente nos artefatos gerados na etapa de
engenharia de produto/proposta. Nesse documento deve estar presente imagens e descrições
dos artefatos mais relevantes. Todos os outros deverão estar nas referências.
3.1. Diagrama de Componentes
Nesta subseção deve estar descrita toda a composição da solução. Além do diagrama
de componentes, deve ser mostrada a divisão de sistemas/subsistemas adotados.

3.2. Infraestrutura / Desenvolvimento

3.3. Tecnologias Utilizadas / Desenvolvimento

A seguir a elucidação das tecnologias, assim como suas justificativas realizadas

através das funcionalidades para sua utilização como parte de um todo que compõem o
resultado final obtido.
Tabela 1. Tecnologias utilizadas

Tecnologia Camada/Subsistema Justificativa

Linux Clientes Sistema operacional open

source e gratuito.

Windows Server Clientes Sistema operacional.

Kibana Servidor Fornece funcionalidades de

busca e visualização de
dados indexados no
Elasticsearch.

TheHive Servidor Plataforma responsável

 pelas respostas a incidentes
de segurança escalável.

Cortex Servidor Observáveis como IP e

endereços de e-mail, URLs,
nomes de domínio,
arquivos ou hashes podem
ser analisados usando uma
interface da Web.

MISP Servidor Plataforma responsável

pelo compartilhamento e
inteligência de ameaças.

ElastSearch Servidor Ingere, transforma e envia

os dados ao destino correto.
Indexa, analisa e pesquisa
os dados ingeridos.

Beats Servidor Eles enviam dados (logs)

de centenas ou milhares de
computadores e sistemas.

Wazuh Servidor Fornece monitoramento,

detecção e alerta de eventos
e incidentes de segurança.

4. Resultados Obtidos
A seguir será apresentado de forma ilustrativa os resultados obtidos após a
implementação e integração das ferramentas utilizadas neste projeto.
Prints

4.3. Considerações Finais

O projeto abordou o cenário de uma empresa que está inserida em um ambiente
totalmente On-premise, haja vista que, o próximo passo será apresentar o processo de
migração das ferramentas implementadas para um ambiente de cloud, um desafio que muitas
delas se deparam, mas não sabem como proceder mediante a falta de experiência, resultando
na necessidade de contratação de organizações privadas especializadas no assunto, as quais
cobram preços exorbitantes em soluções que por sua vez ultrapassam os recursos disponíveis
para tal serviço, ou seja, este seguinte cenário será o tema tratado em um projeto futuro.
Opção cloud é benéfica pois não há a necessidade de uma grande capacidade de
hardware o que pode poupar um número significativo de recursos neste quesito, além de uma
economia em gasto de energia que gera aumentando de custos.

Referências
DA SILVA, Leonardo Cantelmo; MACHADO, Raphael Carlos Santos. Implementação de
SIEM Open Source com Elastic Security para detecção de ataques cibernéticos
Implementation of Open Source SIEM with Elastic Security to detect Cyber Attacks.
2022.
VAZÃO, Ana Paula Henriques. Implementação de sistema SIEM open-source em
conformidade com o RGPD. 2021. Tese de Doutorado.
RODRIGUES, Bernardo de Simas Gaspar. Open-source intelligence em sistemas SIEM.
2015. Tese de Doutorado.
Incidentes notificados voluntariamente ao CERT.br por CSIRTs, administradores de redes e
usuários finais. Estatísticas do CERT.br, 2023. Disponível em:
< https://stats.cert.br/incidentes/>. Acesso em: 28/05/2023.

ZANUTTO, Bruno Gonçalves. Segurança em Cloud Computing. Acesso em: julho, 2017.
Levantamento mostra que ataques cibernéticos no Brasil cresceram 94%. Disponível em:
https://www.cnnbrasil.com.br/tecnologia/levantamento-mostra-que-ataques-
ciberneticos-no-brasil-cresceram-94/ Acesso em: 31/05/2023.