Julgue o item subsequente, a respeito de SIEM (security in...

A alternativa correta é errado (E).

Vamos entender por que essa é a resposta correta.

Um SIEM (Security Information and Event Management) é uma ferramenta essencial para a segurança da informação em uma organização. Ele coleta e analisa logs de diversos dispositivos e sistemas, como firewalls, servidores, aplicações, entre outros, e realiza correlações entre esses eventos para identificar possíveis ameaças e incidentes de segurança.

O enunciado da questão menciona que um SIEM só trabalha com o padrão Syslog, que é um padrão internacional de geração de eventos de log. No entanto, essa afirmação está incorreta. Vejamos o porquê:

1. Syslog: Syslog é, de fato, um padrão amplamente utilizado para a geração de logs e transmissão de mensagens de registro de eventos. Muitos dispositivos e sistemas usam Syslog para enviar logs ao SIEM. No entanto, não é o único formato de log que um SIEM pode processar.

2. Outros formatos de logs: Além do Syslog, os SIEMs modernos são capazes de trabalhar com diversos formatos de logs. Por exemplo, eles podem coletar e processar logs no formato Windows Event Logs, NetFlow, SNMP, e outros formatos proprietários de diferentes aplicações e dispositivos.

3. Flexibilidade do SIEM: A capacidade de um SIEM de lidar com múltiplos formatos de log é crucial para sua efetividade, já que a infraestrutura de TI de uma organização pode incluir uma grande variedade de sistemas e dispositivos, cada um gerando logs em formatos diferentes.

Portanto, a afirmação de que um SIEM só trabalha com padrão Syslog é incorreta. Um SIEM é projetado para ser flexível e capaz de processar logs de múltiplos formatos e fontes, o que é essencial para a segurança abrangente da informação.

Espero que esta explicação tenha ajudado a esclarecer o funcionamento e a flexibilidade dos sistemas SIEM. Caso tenha mais dúvidas ou precise de mais exemplos, estou à disposição!

Não entendi muito bem a questão, mas marquei errado por dois motivos:

1) pela palavra ''só'';

2) porque me lembrei algo sobre Syslog ser muito usado pelo Linux.

Gabarito Errado

Uma solução SIEM permite que os eventos gerados por diversas aplicações de segurança (tais como firewalls, proxies, sistemas de prevenção a intrusão (IPS) e antivírus sejam coletados, normalizados, armazenados e correlacionados; o que possibilita uma rápida identificação e resposta aos incidentes.

Enquanto ferramentas SEM oferecem monitoramento em tempo real dos eventos de segurança, coletando e agregando os dados (com resposta automática em alguns casos); uma ferramenta SIM oferece análise histórica dos eventos de segurança, também coletando e correlacionando os eventos, porém não em tempo real; o que permite consultas mais complexas ao repositório.

As soluções SIEM combinam os recursos oferecidos em ambas as tecnologias (SIM e SEM).

O termo foi cunhado em 2005 por Mark Nicolett e Amrit Williams da Gartner, descrevendo um produto capaz de coletar, analisar e apresentar informações dos dispositivos de segurança de rede; softwares de controle de acesso; gerenciamento de vulnerabilidades; ferramentas de conformidade; logs de sistema operacional, banco de dados e aplicações; e por último, dados de ameaças externas.

Com base nos problemas citados, uma solução SIEM tenta atender com as seguintes características:

Acesso em tempo real, centralizado e consistente a todos os logs e eventos de segurança, independente do tipo de tecnologia e fabricante;

Correlação de logs de tecnologias heterôgeneas, conectando atributos comuns e/ou significativos entre as fontes, de modo a transformar os dados em informação útil;

Identificação de comportamentos, incidentes, fraudes, anomalias e quebras de baseline;

Alertas e notificações que podem ser disparadas automaticamente no caso de não conformidade com as políticas de segurança e/ou normas regulatórias, ou ainda, de acordo com as regras de negócio pré-estabelecidas;

Emissão de relatórios sofisticados sobre as condições de segurança do ambiente para equipes de SOC (security operations center) auditoria ou resposta a incidentes;

Retenção e indexação a longo prazo dos dados possibilitando posterior análise forense;

"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !

Simone, vamos direto ao ponto: SIEMs recebem logs de várias formas, como Syslog, SNMP, arquivos e flows. 

e-

A SIEM system aggregates security data from many different sources (as long as those sources support an open-standard logging format). It also provides capabilities for threat detection and response.

https://docs.microsoft.com/en-us/learn/modules/protect-against-security-threats-azure/3-detect-respond-threats-sentinel