fbpx

SIEM – Gerência de Logs e Correlação de Eventos

Event Tracker – Log and Event Management – Prism Microsystems

Independentemente do tamanho, os negócios de hoje encaram ameaças sérias e crescentes, por parte de criminosos cibernéticos, aos seus dados confidenciais e sistemas críticos.  Os perfis destas ameaças estão sempre evoluindo e crescendo em sofisticação.

Se o negócio possui conexão à Internet e possui portas abertas em seu firewall (o que é sempre verdade no caso real) então ele está vulnerável a ataques. Se um negócio permite que seus funcionários tenham acesso a dados da corporação, então o negócio está exposto a furto de dados corporativos e de clientes.

Outro ponto muito importante nos negócios atuais á o atendimento a regulamentos impostos por organizações internacionaios e países. Dentre as regulamentações existentes, podemos destacar: SOX, PCI-DSS, FISMA, GLBA, HIPAA, Basel, etc.. Estar em conformidade (compliance) com estes regulamentos habilita a concretização de negócios e dá mais confiança a parceiros.

Fica claro que soluções que vão além de antivírus e firewall são necessárias e soluções SIEM (Security Information and Event Management) como Event Tracker podem ajudar melhorando substancialmente o perfil de segurança da companhia.

Event Tracker

A solução Event Tracker da Prism Microsystems, ganhadora de diversos prêmios da mídia especializada, é um SIEM (Security Information and Event management) e um CCM (Configuration and Change Management) combinados, objetivando mitigar ameaças internas e externas, acatar uma variedade de requirimentos regulatórios, e melhorar processos e disponibilidade de serviços de TI

O Event Tracker combina Gerência de Logs em tempo real (Busca, Correlação, Análise, Relatório, Acompanhamento de USB, Remediação Automática) com a Gerência de Configuração e Mudança (CCM) em um único pacote de software turnkey. Esta combinação única permite que organizações:

  • aumentem substancialmente a segurança através de defesa abrangente
  • alcança conformidade confiante parta requerimentos regulatórios
  • aumenta a efetividade global de TI pela automatização de tarefas rotineiras e pelo aumento da disponibilidade e da utilização de rede e sistemas

Esta solução é muito vantajosa economicamente por ser totalmente baseada em software e está implementada em empresas de 50 a mais de 5000 dispositivos.

As principais características do Event Tracker são:

{tab Gerais}

O EventTracker é uma solução de Segurança de Informação e Gerência de Eventos (SIEM) que combina a Gerência ed Logs em tempo real com uma poderosa Gerência e Configuração e Mudanças (CCM) em um só pacote de software integrado.

Principais funções de Gerência de Logs:

  • Coleta de Log de Eventos em Tempo Real
  • Monitoração Centralizada de Log de Eventos
  • Consolidação de Eventos
  • Análise e Forensics de Eventos
  • Relatórios
  • Acompanhamento de USB
  • Remediação Imediata

Principais funções de Monitoração de Mudanças

  • Monitora e alerta em eventos críticos de aplicações, serviços, registros e arquivos Windows
  • Compara fotografias com a configuração padrão ou mudança al longo do tempo
  • Gerencia todos os sistemas a partir de um ponto cenrtal

Conformidade Regulatória

  • Automatiza completamente o processo de conformidade
  • Workflows de conformidade embutidos
  • Relatórios de Auditoria prontos

Estrutura

  • solução 100% baseada em software
  • arquitetura muito flexível e escalável
  • rápida de implementar e fácil de usar e manter
  • suporta para configurações de Rede baseadas ou não em domínios Windows
  • coleta de todos os logs de eventos baseada em agente ou não
  • interface de acesso baseada no Windows ou em Web

O EventTracker é a mais completa solução SIEM para empresas entre 50 e 5000 dispositivos a serem gerenciados.

{tab Gerência de Logs}

Principais funções

O EventTracker é uma solução 100% software que permite ausuários efetivamente monitorar e gerenciar sua infraestrutura de TI. Além de prover uma poderosa defesa para ataques cibernéticos e uma completa solução de conformidade, o EventTracker proporciona eficiência operacional – reduzindo custos de TI e liberando recursos para outras obrigações que aumentem o valor do negócio de sua organização. A poderosa base de conhecimento do EventTracker fornece a capacidade de ganhar inteligência de negócio melhorando a segurança, o desempenho, a disponibilidade e a confiabilidade de seus sistemas.

Coleta

O EventTracker permite que você automatize a coleta de dados de log nos modos com e sem agente de todo o ambiente de TI. Isto municia voc~e de dados para analisar eventos ao longo de todo o seu ambiente, incluindo servidores, estações de trabalho, dispositivos de rede, aplicações, processos e serviços.

Consolidação

A avançada console central coloque ao seu alcance a gerência de segurança, o monitor de log de eventos, as ferramentas de relatórios e de análises de logs. A console instantaneamente mostra eventos de todos os sistemas, com visões customizadas usando múltiplas janelas e filtragem baseada em regras.

Correlação

Os eventos de múltiplos servidores e domínios podem ser correlacionados para oferecer uma rápida tomada de decisões e uma grande segurança. O EventCorrelator torna fácil definir padrões de eventos e criar regras e ações que podem prevenir a perda de receita e aumentar a segurança global.

Analítica

O EventTracker inclui ampla capacidade analítica para rapidamente buscar e se aprofundar em todos os seus logs – em tempo real ou como parte de um processo forense pós incidente, tudo a partir de um local central (a console de gerência).

Relatórios

O EventTracker incorpora abrangentes ferramentas de relatórios para gerar relatórios de tendência e de grau de auditor (sob demanda ou agendados). O Eventracker automatiza a entrega e a revisão dos relatórios. Workflows de conformidade embutidos permitem que relatórios sejam seguramente comentados para demonstrar a conformidade.

Armazenagem

O EventTracker provê uma solução integrada para armazenagem eficiente dos logs de eventos. O EventVault arquiva os logs de eventos da empresa sem a necessidade de licenças adicionais de um DBMS. Todos os eventos são comprimidos (mais de 96% de taxa de compressão) e protegidos com uma assinatura SHA-1.

Monitoração de USB

Com o EventTracker todos os dispositivos USB de armazenagem podem ser monitorados tanto em Servidores  quanto em Estações de Trabalho Windows. O EventTracker oferece não só a capacidade de inserir/remover regras sofisticadas para limitar o uso a um grupo permitido de unidades, mas também provê a possibilidade de monitorar e salvar todas as gravações de arquivos no dispositivo.

Remediação Automática

Muitas das condições detectadas pelo EventTracker resultam em uma ação bem definida por parte do grupo de TI. O EventTracker permite que estas ações comuns sejam automatizadas, e fornecem ações de remediação pré-concebidas para muitas condições comuns. Especialmente útil para pequenas empresas sem suporte 24X7X365, o EventTracker pode tomar ações imediatamente, poupando um precioso tempo, enquanto o grupo de TI é contatado.

{tab Monitoração de Mudanças}

Monitoração de Mudanças

Mesmo uma modesta estação Windows pode conter bem mais que 200.000 arquivos e meio milhão de valores de registro.  A mudança é constante em um sistema e frequentemente é imperceptível pelo usuário. Uma pequena mudança em um arquivo executável ou biblioteca, especialmente no caso de um vírus, é frequentemente a única dica que você tem, como um administrador, de que algo aconteceu com o sistema.

A Monitoração de Mudanças no sistema de arquivos ou nos registros do sistema é uma disciplina vital que melhora substancialmente a segurança corporativa. Entretanto,dentro da estrutura Windows é, para efeitos práticos, impossível detetar o que mudou, e muito menos quem a mudou e quando.

Usando o WhatChanged, o módulo de gerência de mudanças do EventTracker, um usuário pode implementar uma monitoração poderosa de integridade de arquivos e registros para acompanhar centenas de milhares de objetos em um sistema Windows. O WhatChanged faz uma rápida e periódica fotografia de cada sistema e a compara com uma fotografia de configuração padrão ou com uma fotografia anterior do sistema para monitorar as mudanças com o passar do tempo. Com o WhatChanged os administradores de sistema podem rapidamente detetar mudanças críticas não autorizadas no sistema.

O WhatChanged é totalmente integrado à estrutura do EventTracker. A deteção de uma violação de política de mudança pelo WhatChanged causará o envio de uma evento para a console do EventTracker. Estes eventos podem possuir regras de correlação escritas contra eles, relatórios podem ser criados, ou análises realizadas. O WhatChanged também armazena um registro de todas as mudanças no repositório central. O repositório central consiste de arquivos binários com alto nível de compressão e, portanto, não há custos adicionais com licenças e tarefas administrativas de bases de dados comerciais.

Deteção de Ataques de Primeira Hora (Zero-Day Attacks)

Ataques de novos vírus ou outras pragas eletrônicas são difífeis de prevenir e normalmente acontecem quando ainda não há nem nomes designados a eles. Considerando que novas ameaças surgem muito rapidamente, sistemas de antivírus e firewall baseados em regras reativos sozinhos são normalmente insuficientes para prevenir o problema. Ou seja, um sistema reativo é lento demais para bloquear este tipo de ataque.

Um modo efetivo de ajudar a prevenir grandes prejuízos causados por estes ataques é através da monitoração da integridade do arquivo. A maioria das infecções (Sasser, myDoom, Blaster) se escondem em seu sistema, adicionando ou modificando um arquivo exe ou dll. Para se tornar infectado, algo no sistema tem que mudar, e o WhatChanged pode detetar estas mudanças escondidas e alertá-lo. O WhatChanged permite que você rapidamente diminua o número enorme de executáveis e dll’s com nomes enganosos que precisam ser examinados e mirar naqueles que foram adicionados, modificados ou apagados.

Principais Características

Mudanças de Configuração

  • Minimiza riscos de segurança causados por mudanças autorizadas ou não
  • Identifica quaisquer mudanças em arquivos EXE, DLL, INI, Drivers, e em registros e outras configurações
  • Reduz o tempo e o custo associado com mudanças de configuração
  • Padroniza configurações de servidores

Análise de Vuilnerabilidade

O WhatChanged realiza escaneamento regular e automático de seus sistemas – estejam eles ou não expostos a vulnerabilidades conhecidas que podem gerar riscos potencias de segurança para o seu ambiente.

Mudanças de Arquivos e Registros

  • Tira fotografias diárias de seus sistemas
  • Compara com fotografias anteriores para verificar o que mudou

Capacidade de Restaurar e Sincronizar Registros

  • Restauração rápida de todos os registros para uma configuração prévia que funciona
  • Habilidade de desfazer a restauração dos registros

Change Browser

O Change Browser é um navegador rico em informação que mostra uma comparação da versão atual com fotografias anteriores.

Gerência de Registros

Como você gerencia backups e recuperação de registros em suas máquinas? É um problema complicado. Administradores de sistema experientes aprenderam cedo a serem cautelosos com problemas de registros porque um único problema pode jogar fora horas de trabalho. Apesar de saberem disto, muitos gerentes de sistema não possuem uma boa forma de gerenciar os registros.

Com o WhatChanged você não precisa manter um enfadonho backup de cada registro. O WhatChanged faz isto para você automaticamente em intervalos previamente definidos (por exemplo, diariamente) e mantém somente as diferenças para minimizar o espaço em disco.

Além disto, possui as seguintes funções:

  • Restauração de Registros
  • Relatório de Mudanças
  • Gerencia até 64 fotografias para recuperação
  • Visão Geral Corporativa

{/tabs}

Para maiores detalhes da solução por favor baixe o folheto pertinente diretamente de nossa área de downloads.