Julgue o item subsequente, a respeito de SIEM (security in...

Alternativa Correta: C - certo

Para compreender por que a alternativa é correta, é importante começar com uma explicação sobre o que é SIEM - Security Information and Event Management. Esta é uma tecnologia que combina a gestão de informações de segurança (Security Information Management - SIM) e a gestão de eventos de segurança (Security Event Management - SEM). A função principal de um SIEM é fornecer uma visão em tempo real e histórica dos registros de segurança, que são muitas vezes chamados de eventos, além de oferecer suporte para a detecção de ameaças e resposta a incidentes.

O SIEM é capaz de coletar e agregar dados de log de várias fontes, incluindo sistemas de rede, dispositivos de segurança, servidores e aplicações. Uma vez coletados, esses dados são normalizados, o que significa que são transformados em um formato consistente que permite a análise e armazenamento eficientes. Aqui entra a conexão com a gestão de banco de dados. Para lidar com o grande volume de dados gerados e coletados, o SIEM frequentemente utiliza gerenciadores de banco de dados robustos.

Os bancos de dados são essenciais para o funcionamento eficaz de um SIEM, pois eles armazenam, organizam e permitem a análise dos dados de segurança. Com essa infraestrutura, é possível realizar consultas complexas, análises e até mesmo aplicar inteligência artificial e aprendizado de máquina para detectar padrões que possam indicar ameaças ou outras preocupações de segurança.

A capacidade de armazenar e utilizar esses dados normalizados é fundamental no processo de resolução de incidentes de rede, pois permite que os analistas de segurança identifiquem rapidamente a fonte e a natureza do problema. A acessibilidade e capacidade de pesquisa desses dados podem ser cruciais para uma resposta rápida a incidentes, minimizando assim o potencial de danos.

Portanto, a afirmação de que um SIEM pode fazer uso de gerenciadores de banco de dados para armazenar grandes volumes de dados que foram previamente normalizados e que podem ser úteis na resolução de incidentes de rede, é correta, justificando assim a alternativa C como a resposta certa para a questão apresentada.

Gabarito Certo

Uma solução SIEM permite que os eventos gerados por diversas aplicações de segurança (tais como firewalls, proxies, sistemas de prevenção a intrusão (IPS) e antivírus sejam coletados, normalizados, armazenados e correlacionados; o que possibilita uma rápida identificação e resposta aos incidentes.

Enquanto ferramentas SEM oferecem monitoramento em tempo real dos eventos de segurança, coletando e agregando os dados (com resposta automática em alguns casos); uma ferramenta SIM oferece análise histórica dos eventos de segurança, também coletando e correlacionando os eventos, porém não em tempo real; o que permite consultas mais complexas ao repositório.

As soluções SIEM combinam os recursos oferecidos em ambas as tecnologias (SIM e SEM).

O termo foi cunhado em 2005 por Mark Nicolett e Amrit Williams da Gartner, descrevendo um produto capaz de coletar, analisar e apresentar informações dos dispositivos de segurança de rede; softwares de controle de acesso; gerenciamento de vulnerabilidades; ferramentas de conformidade; logs de sistema operacional, banco de dados e aplicações; e por último, dados de ameaças externas.

Com base nos problemas citados, uma solução SIEM tenta atender com as seguintes características:

Acesso em tempo real, centralizado e consistente a todos os logs e eventos de segurança, independente do tipo de tecnologia e fabricante;

Correlação de logs de tecnologias heterôgeneas, conectando atributos comuns e/ou significativos entre as fontes, de modo a transformar os dados em informação útil;

Identificação de comportamentos, incidentes, fraudes, anomalias e quebras de baseline;

Alertas e notificações que podem ser disparadas automaticamente no caso de não conformidade com as políticas de segurança e/ou normas regulatórias, ou ainda, de acordo com as regras de negócio pré-estabelecidas;

Emissão de relatórios sofisticados sobre as condições de segurança do ambiente para equipes de SOC (security operations center) auditoria ou resposta a incidentes;

Retenção e indexação a longo prazo dos dados possibilitando posterior análise forense;

"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !

Em geral, as ferramentas SIEM vêm com um mecanismo automatizado para gerar notificações sobre possíveis violações e podem responder automaticamente e até mesmo interromper os ataques enquanto eles ainda estão em andamento.

As ferramentas SIEM geralmente fornecem dois resultados principais: os relatórios, que agregam e exibem incidentes e eventos relacionados à segurança; e os alertas, que serão acionados se o mecanismo de análise da ferramenta detectar atividades que violam um conjunto de regras.