Diferentes formatos de logs utilizados em SIEM

Uma solução de Segurança da Informação e Gestão de Eventos (SIEM) é fundamental para manter a segurança da rede de uma organização, monitorando diversos tipos de dados. Os registros de log são essenciais, pois registram todas as atividades nos dispositivos e aplicativos em toda a rede. Para avaliar adequadamente a postura de segurança de uma rede, as soluções SIEM devem coletar e analisar diversos tipos de dados de log. Além disso, é importante ressaltar que os diferentes tipos de logs fornecem uma visão abrangente dos diferentes componentes da infraestrutura da organização. Os formatos dos logs também variam de acordo com a ferramenta de SIEM utilizada, o que requer uma compreensão detalhada das diferentes plataformas disponíveis para uma implementação eficaz da SIEM.

Este artigo explora os diferentes tipos de dados de log que você deve coletar e analisar usando uma solução SIEM para garantir a segurança da rede.

Tipos de dados de log:

Diferentes tipos de logs são gerados por uma variedade de dispositivos e aplicativos, cada um fornecendo informações valiosas sobre a saúde e segurança da rede. Neste contexto, exploraremos os principais tipos de logs, desde dispositivos de perímetro até dispositivos IoT, destacando a importância de cada um e como eles contribuem para a compreensão e proteção da infraestrutura de rede de uma organização.

1. Logs de dispositivos de perímetro

Os dispositivos de perímetro monitoram e regulam o tráfego de e para a rede. Firewalls, redes privadas virtuais (VPNs), sistemas de detecção de intrusões (IDSs) e sistemas de prevenção de intrusões (IPSs) são alguns dos dispositivos de perímetro. Esses dispositivos geram logs contendo uma grande quantidade de dados, e os logs de dispositivos de perímetro são vitais para entender os eventos de segurança que ocorrem na rede. Os dados de log no formato syslog ajudam os administradores de TI a realizar auditorias de segurança, solucionar problemas operacionais e entender melhor o tráfego que passa pela rede corporativa.

2. Logs de eventos do Windows

Os logs de eventos do Windows registram tudo o que acontece em um sistema Windows. Esses dados de log são classificados em:

– Logs de aplicativos do Windows

– Logs de segurança

– Logs do sistema

– Logs de serviços de diretório

– Logs do servidor DNS

– Logs do serviço de replicação de arquivos

3. Logs de endpoints

Os endpoints são dispositivos conectados à rede que se comunicam com outros dispositivos por meio de servidores. Alguns exemplos incluem desktops, laptops, smartphones e impressoras.

4. Logs de aplicativos

As empresas executam vários aplicativos, como bancos de dados, servidores web e outros aplicativos internos, para realizar funções específicas. Todos esses aplicativos geram log data que fornece insights sobre o que está acontecendo dentro dos aplicativos.

5. Logs de proxy

Os servidores proxy desempenham um papel importante na rede de uma organização, fornecendo privacidade, regulando o acesso e economizando largura de banda. Como todas as solicitações e respostas da web passam pelo servidor proxy, os logs do proxy podem revelar informações valiosas sobre estatísticas de uso e o comportamento de navegação dos usuários finais.

6. Logs de IoT

A Internet das Coisas (IoT) refere-se a uma rede de dispositivos físicos que trocam dados com outros dispositivos na Internet. Esses dispositivos são incorporados com sensores, processadores e software para permitir a coleta, processamento e transmissão de dados. Assim como os endpoints, os dispositivos que compõem um sistema IoT geram logs.

Os logs de todas as fontes acima geralmente são encaminhados para a solução de log centralizada que correlaciona e analisa os dados para fornecer uma visão geral da segurança de sua rede. Os logs são armazenados e transmitidos em diferentes formatos, como CSV, JSON, par de chaves e formato de evento comum.

Formatos de log diferentes: 

Existem diversos formatos de log, como por exemplo CSV (Comma-Separated Values), JSON (JavaScript Object Notation), Syslog, entre outros. É necessário entender que cada formato possui características específicas que o tornam adequado para diferentes tipos de análises e aplicativos. Neste contexto, exploraremos a importância e as características de cada formato de log, destacando como eles contribuem para o gerenciamento eficaz de logs em ambientes de rede.

CSV (Comma-Separated Values): O CSV é um formato de arquivo que armazena valores separados por vírgula. É um formato de arquivo de texto simples, o que permite que os arquivos CSV sejam facilmente importados para um banco de dados de armazenamento, independentemente do software usado. Como os arquivos CSV não são hierárquicos ou orientados a objetos, também são mais fáceis de converter em outros tipos de arquivos.

JSON (JavaScript Object Notation): O JSON é um formato de texto para armazenar dados. É um formato estruturado, o que facilita a análise dos logs armazenados. Também pode ser consultado por campos específicos. Esses recursos adicionais tornam o JSON um formato muito confiável para o gerenciamento de logs.

Par de Chaves (Key-Value Pair): Um par de chaves consiste em dois elementos: uma chave e um valor mapeado para ela. A chave é constante e o valor é variável em diferentes entradas. A formatação envolve a agrupamento de conjuntos semelhantes de dados sob uma chave comum. Ao executar a consulta para uma chave específica, todos os dados sob essa chave podem ser extraídos.

Formato de Evento Comum (Common Event Format – CEF): O Formato de Evento Comum, comumente referido como CEF, é um formato de gerenciamento de logs que promove a interoperabilidade tornando mais fácil coletar e armazenar dados de log de diferentes dispositivos e aplicativos. Ele usa o formato de mensagem syslog. Este formato de log é amplamente utilizado, é suportado por uma variedade de fornecedores e plataformas de software, e consiste em um cabeçalho CEF e uma extensão CEF que contém dados de log em pares de chave-valor.

ETFL (Extended Tag Format Log): O ETFL é um formato de log que estende o formato de log tradicional, como o syslog, adicionando informações adicionais e estruturadas aos registros de log. Ele é projetado para fornecer informações mais detalhadas e contextuais sobre eventos de segurança, permitindo uma análise mais profunda e eficaz. O ETFL é especialmente útil em ambientes de segurança cibernética, onde a compreensão completa de um evento é crucial para a resposta adequada a incidentes.

Syslog: O syslog é um protocolo padrão usado para enviar mensagens de log em uma rede IP. Ele é comumente usado para registrar eventos do sistema e de segurança em dispositivos de rede, servidores e aplicativos. O syslog também é usado como um formato de log, onde as mensagens são estruturadas em diferentes níveis de gravidade (como informações, avisos, erros e críticos) e contêm informações sobre o tempo, o dispositivo de origem e o conteúdo da mensagem. O syslog é altamente flexível e pode ser configurado para enviar mensagens para um servidor de log centralizado, facilitando a análise e o gerenciamento centralizado de logs em uma rede.

Coletar manualmente esses logs de todas as diferentes fontes em uma rede e correlacioná-los é um processo tedioso e demorado. Uma solução SIEM pode ajudá-lo com isso. Uma solução SIEM analisa os logs coletados de diferentes fontes, correlaciona os dados de log e fornece insights para ajudar as organizações a detectar e se recuperar de ciberataques.

Packet Capture (PCAP): Arquivos de captura de pacotes, comumente criados por ferramentas como Wireshark, contêm dados brutos de tráfego de rede capturados de uma interface de rede. Embora não seja estritamente um formato de log, os arquivos PCAP são frequentemente usados para análise de segurança de rede e investigações forenses.