GERENCIAMENTO DE INCIDENTES EM SIEM UTILIZANDO ITIL
Resumo
Com a crescente evolução da Internet of Things (IoT), o número de equipamentos conectados à rede, bem como a diversidade de equipamentos usados, com diferentes capacidades de computação, o gerenciamento da segurança tornou-se um grande desafio. Diferentes sistemas de proteção, como antivírus, firewall, sistemas de Intrusion Detection System (IDS) e Intrusion Prevention System (IPS) são tipicamente utilizados para garantir maior integridade, disponibilidade, confidencialidade, não-repúdio e confiabilidade, que são componentes indispensáveis para segurança em redes. Entretanto, coletar, interpretar e analisar individualmente os eventos gerados por estas ferramentas é, por vezes, um trabalho árduo para os responsáveis pelo monitoramento da rede. Para analisar as informações geradas por estas diversas ferramentas de segurança, podem ser utilizados sistemas Security Information and Event Management (SIEM), que têm como objetivo centralizar e apresentar as informações contidas nos logs das ferramentas e dispositivos conectados à rede. Porém, o SIEM, muitas vezes, depende de uma equipe especializada para analisar detalhadamente cada evento gerado e tomar a decisão de acordo com o incidente. Além disso, por vezes, não ocorre um gerenciamento eficiente dos alertas gerados. Com base nesse contexto, este trabalho apresenta um projeto de sistema para gerenciar os incidentes relacionados aos eventos de segurança mais críticos em um SIEM, seguindo a metodologia Information Technology Infrastructure Library (ITIL). O maior objetivo de um SIEM é centralizar as notificações e alertas de segurança de diversas ferramentas ou equipamentos que fazem parte da na rede, estas ferramentas e equipamentos geram milhares de alertas de segurança todos os dias, com o SIEM é possível coletar todas estas informações em um único sistema, com um conjunto de relatórios e um sistema centralizado para gerar notificações.O presente trabalho tem como principal objetivo projetar uma solução capaz de administrar e gerenciar as informações relacionadas aos eventos de segurança mais críticos obtidos de diversas ferramentas e dispositivos conectados à rede, seguindo a metodologia ITIL. Como este trabalho foi proposto para ser entregue no final do segundo semestre do ano de 2018, o mesmo ainda não está concluído, inclusive na data da inscrição ainda não foi obtido resultados, apenas foi feito a parte teórica e foi criado o ambiente para testes. Entretanto, o trabalho será concluído até o final deste semestre. Durante o desenvolvimento deste, serão feitos os ajustes necessários para que o sistema possa ser finalizado. Os testes serão feitos, inicialmente, em um ambiente híbrido com dispositivos IoT, notebooks, servidores e computadores conectados à rede. Através de erros e ataques simulados a estes equipamentos, serão gerados logs de alertas pelas ferramentas citadas na arquitetura, os quais serão analisados e enviados para o siem.
Apontamentos
- Não há apontamentos.