{"id":19991,"date":"2022-09-16T11:13:57","date_gmt":"2022-09-16T14:13:57","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=19991"},"modified":"2022-09-16T11:13:57","modified_gmt":"2022-09-16T14:13:57","slug":"threat-intelligence-platform-siem","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/threat-intelligence-platform-siem\/19991\/","title":{"rendered":"Como reduzir a carga no SIEM e fazer bom uso de feeds de intelig\u00eancia de amea\u00e7as"},"content":{"rendered":"<p>Inicialmente, os sistemas SIEM foram criados como uma ferramenta para coletar informa\u00e7\u00f5es sobre eventos de seguran\u00e7a dentro da infraestrutura e analis\u00e1-los usando dados externos sobre ciberamea\u00e7as conhecidas. E por muito tempo, eles fizeram o seu trabalho muito bem. No entanto, \u00e0 medida que as amea\u00e7as e a ind\u00fastria de seguran\u00e7a da informa\u00e7\u00e3o evoluem, mais e mais <em>feeds<\/em> de intelig\u00eancia de amea\u00e7as est\u00e3o aparecendo no mercado. E mais, suas estruturas est\u00e3o mudando significativamente. Tornou-se \u00f3bvio para muitos especialistas que uma nova ferramenta que permite navegar fluxos de intelig\u00eancia de amea\u00e7as \u00e9 necess\u00e1ria para que os SIEMs funcionem efetivamente.<\/p>\n<h2>Por que o SIEM precisava de um assistente?<\/h2>\n<p>\u00c0 primeira vista, pode parecer que quanto mais dados externos sobre atua\u00e7\u00e3o quanto \u00e0 ciberamea\u00e7as \u00e9 conectado ao seu sistema SIEM, mais eficazmente ele deve fazer o seu trabalho. Mas este n\u00e3o \u00e9 o caso.<\/p>\n<p>Primeiro, quanto mais indicadores um sistema lida \u2014 mais alertas ele gera. Mesmo se assumirmos que h\u00e1 um n\u00famero m\u00ednimo de falsos positivos (como ningu\u00e9m \u00e9 imune a eles), um analista n\u00e3o pode navegar rapidamente atrav\u00e9s de milh\u00f5es de notifica\u00e7\u00f5es duplicadas e priorizar as importantes.<\/p>\n<p>Em segundo lugar, os sistemas SIEM existentes simplesmente n\u00e3o s\u00e3o projetados para lidar com um n\u00famero infinito de indicadores. Quando voc\u00ea conecta v\u00e1rios <em>feeds<\/em>, o <em>workload<\/em> no sistema aumenta significativamente, o que pode ter um impacto negativo na taxa de detec\u00e7\u00e3o de incidentes. O mesmo pode acontecer se voc\u00ea tentar implementar um cen\u00e1rio de atualiza\u00e7\u00f5es frequentes. N\u00e3o que seja completamente imposs\u00edvel, mas a taxa de desempenho e detec\u00e7\u00e3o pode ser impactada.<\/p>\n<p>Al\u00e9m disso, um sistema SIEM n\u00e3o \u00e9 adequado para trabalhos mais detalhados com <em>feeds<\/em> de intelig\u00eancia de amea\u00e7as diretamente. Por exemplo, n\u00e3o pode comparar a taxa de qualidade e detec\u00e7\u00e3o de <em>feeds<\/em> de diferentes fornecedores ou lidar com diferentes tipos de m\u00e1scaras a partir de <em>feeds<\/em> com indicadores de compromisso representados como URLs, hosts ou dom\u00ednios. Se um analista precisa de um contexto mais profundo para qualquer indicador, uma ferramenta adicional \u00e9 necess\u00e1ria (e n\u00e3o importa que, de fato, o contexto necess\u00e1rio possa existir nos <em>feeds<\/em> \u2014 o SIEM pode simplesmente n\u00e3o saber como acess\u00e1-lo).\u00a0 Finalmente, tenha em mente o fator econ\u00f4mico. A maioria dos SIEMs oferece pacotes baseados no <em>workload<\/em>: quanto mais indicadores ele processa, mais voc\u00ea tem que pagar.<\/p>\n<h2>Como uma plataforma de intelig\u00eancia de amea\u00e7as pode ajudar<\/h2>\n<p>Em geral, uma plataforma de intelig\u00eancia de amea\u00e7as pode resolver todas as desvantagens acima dos sistemas SIEM.\u00a0 Mas, para come\u00e7ar, \u00e9 uma ferramenta indispens\u00e1vel que permite navegar por meio de uma infinidade de <em>feeds<\/em> de diferentes fornecedores. Voc\u00ea pode conectar v\u00e1rios <em>feeds<\/em> (n\u00e3o necessariamente no mesmo formato) e compar\u00e1-los a partir de diferentes par\u00e2metros. Por exemplo, voc\u00ea pode detectar cruzamentos indicadores em diferentes <em>feeds<\/em>, o que deve ajudar a identificar fluxos de dados duplicados e possivelmente rejeitar alguns deles. Voc\u00ea tamb\u00e9m pode comparar <em>feeds<\/em> com base em \u00edndices de detec\u00e7\u00e3o estat\u00edstica. Levando em conta o fato de que alguns fornecedores oferecem um per\u00edodo de teste para usar seus <em>feeds<\/em>, esta pode ser uma boa maneira de avaliar antes de investir na solu\u00e7\u00e3o.<\/p>\n<p>Uma plataforma de intelig\u00eancia de amea\u00e7as tamb\u00e9m fornece ao analista de SOC muitos recursos adicionais que simplesmente n\u00e3o podem ser implementados no SIEM. Por exemplo, um recurso de <em>retro-scan<\/em> est\u00e1 dispon\u00edvel, permitindo a verifica\u00e7\u00e3o dupla de logs e dados hist\u00f3ricos previamente salvos com refer\u00eancia a novos <em>feeds<\/em>. Outro recurso dispon\u00edvel \u00e9 o enriquecimento de indicadores de v\u00e1rias fontes de terceiros (como o VirusTotal). Finalmente, uma plataforma decente de intelig\u00eancia de amea\u00e7as, a partir de um alerta espec\u00edfico, permite encontrar e baixar um relat\u00f3rio APT detalhando as t\u00e1ticas, t\u00e9cnicas e procedimentos dos atacantes associados, bem como dicas pr\u00e1ticas para solucionar os problemas.<\/p>\n<p>Uma plataforma de intelig\u00eancia de amea\u00e7as permite filtrar e baixar indicadores, classificar incidentes, apresentar tudo isso em uma interface gr\u00e1fica para a conveni\u00eancia do analista, e muito mais. Depende das fun\u00e7\u00f5es de cada plataforma espec\u00edfica.<\/p>\n<h2>Como uma plataforma de Intelig\u00eancia de Amea\u00e7as se encaixa no trabalho de um analista e dos sistemas SIEM<\/h2>\n<p>Em geral, uma plataforma de intelig\u00eancia de amea\u00e7as instalada na rede interna de uma empresa realiza o processo de an\u00e1lise e correla\u00e7\u00e3o de dados recebidos, o que reduz significativamente a carga no sistema SIEM. Ele permite que voc\u00ea gere seus pr\u00f3prios alertas quando amea\u00e7as s\u00e3o detectadas. Al\u00e9m disso, ele se integra com seus processos de monitoramento e resposta existentes por meio de API.<\/p>\n<p>Essencialmente, uma plataforma de intelig\u00eancia de amea\u00e7as gera seu pr\u00f3prio <em>feed<\/em> de dados com detec\u00e7\u00f5es, adaptado \u00e0s necessidades de sua empresa. Isso \u00e9 especialmente \u00fatil se voc\u00ea tiver v\u00e1rios sistemas SIEM em execu\u00e7\u00e3o em paralelo \u00e0 infraestrutura corporativa. Sem uma plataforma de intelig\u00eancia de amea\u00e7as, voc\u00ea teria que carregar <em>inputs<\/em> brutos em cada um deles.<\/p>\n<h2>Um exemplo pr\u00e1tico<\/h2>\n<p>Vamos dar uma olhada em um incidente bastante simples para ver como uma plataforma de intelig\u00eancia de amea\u00e7as otimiza as mitiga\u00e7\u00f5es e corre\u00e7\u00f5es.\u00a0 Imagine que um usu\u00e1rio corporativo acessou um site a partir de seu computador de trabalho. No feed de intelig\u00eancia de amea\u00e7as, a URL desse site \u00e9 listada como maliciosa, de modo que a plataforma identifica o incidente, agrega o contexto dos <em>feeds<\/em> e envia essa detec\u00e7\u00e3o para o sistema SIEM para registro. Em seguida, este incidente chega ao analista do SOC. O analista v\u00ea a detec\u00e7\u00e3o do <em>feed<\/em> de URL malicioso e decide dar uma olhada mais de perto, usando uma a plataforma de intelig\u00eancia de amea\u00e7as.<\/p>\n<p>Diretamente da lista de detec\u00e7\u00f5es, ele pode abrir informa\u00e7\u00f5es contextuais dispon\u00edveis no fluxo de TI: endere\u00e7o IP, <em>hashes<\/em> de arquivo maliciosos associados a este endere\u00e7o, an\u00e1lises de solu\u00e7\u00e3o de seguran\u00e7a, dados de servi\u00e7o do WHOIS e assim por diante. Inclusive, ainda pode abrir uma interface de gr\u00e1fico \u2014 a maneira mais conveniente de analisar a cadeia de ataque.<\/p>\n<p>At\u00e9 agora, n\u00e3o h\u00e1 muitas informa\u00e7\u00f5es: ele v\u00ea a pr\u00f3pria detec\u00e7\u00e3o, a URL maliciosa detectada e o endere\u00e7o IP interno da m\u00e1quina que algu\u00e9m usou para acessar essa URL. Ao clicar no \u00edcone de URL maliciosa, ele pede indicadores conhecidos relacionados a esse endere\u00e7o: endere\u00e7os IP, URLs adicionais e hashes de arquivos maliciosos que foram em algum momento baixados a partir desse site.<\/p>\n<p>O pr\u00f3ximo passo \u00e9 verificar se outras detec\u00e7\u00f5es foram registradas na infraestrutura corporativa usando os mesmos indicadores. O analista clica em qualquer objeto (por exemplo, um endere\u00e7o IP malicioso) e exibe detec\u00e7\u00f5es adicionais no gr\u00e1fico. Em outras palavras, eles podem descobrir em um clique para qual usu\u00e1rio foi para qual endere\u00e7o IP (ou em qual m\u00e1quina uma solicita\u00e7\u00e3o de URL do servidor DNS devolveu o endere\u00e7o IP). Da mesma forma, verifica quais usu\u00e1rios baixaram o arquivo cujo <em>hash<\/em> \u00e9 mostrado nos indicadores associados.<\/p>\n<p>Pode haver milhares de detec\u00e7\u00f5es em um \u00fanico incidente, e seria muito dif\u00edcil classific\u00e1-las \u00e0 m\u00e3o sem a interface gr\u00e1fica f\u00e1cil de usar da plataforma. Todo o contexto dispon\u00edvel a partir de <em>feeds<\/em> de dados de ciberamea\u00e7a \u00e9 integrado para cada ponto no gr\u00e1fico. O analista pode agrupar ou ocultar objetos e aplicar o agrupamento autom\u00e1tico de n\u00f3. Se o analista tiver alguma fonte de informa\u00e7\u00e3o adicional, ela pode adicionar um indicador manualmente e independentemente marcar suas correla\u00e7\u00f5es.<\/p>\n<p>Portanto, o especialista pode reconstruir uma cadeia completa de ataques e entender como tudo come\u00e7ou. Por exemplo, um usu\u00e1rio digitou a URL de um site malicioso, o servidor DNS devolveu o endere\u00e7o IP e este usu\u00e1rio baixou um arquivo com um hash conhecido do site.<\/p>\n<h2>Conclus\u00e3o<\/h2>\n<p>Uma <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/threat-intelligence?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Plataforma de intelig\u00eancia de amea\u00e7as<\/a> serve como uma esp\u00e9cie de interface intermedi\u00e1ria, permitindo reduzir significativamente a carga no sistema SIEM sem comprometer a qualidade da detec\u00e7\u00e3o por um lado, e facilitar a vida do analista por outro.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Como uma plataforma de intelig\u00eancia de amea\u00e7as ajuda os analistas do SOC.<\/p>\n","protected":false},"author":2693,"featured_media":19992,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655],"tags":[1975,1840,910],"class_list":{"0":"post-19991","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-inteligencia-de-ameacas","10":"tag-soc","11":"tag-ti"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/threat-intelligence-platform-siem\/19991\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/threat-intelligence-platform-siem\/24518\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/threat-intelligence-platform-siem\/19984\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/threat-intelligence-platform-siem\/26965\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/threat-intelligence-platform-siem\/24874\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/threat-intelligence-platform-siem\/27558\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/threat-intelligence-platform-siem\/33901\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/threat-intelligence-platform-siem\/10982\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/threat-intelligence-platform-siem\/45332\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/threat-intelligence-platform-siem\/19368\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/threat-intelligence-platform-siem\/29225\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/threat-intelligence-platform-siem\/25386\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/threat-intelligence-platform-siem\/30923\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/threat-intelligence-platform-siem\/30625\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/inteligencia-de-ameacas\/","name":"intelig\u00eancia de amea\u00e7as"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19991","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2693"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=19991"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19991\/revisions"}],"predecessor-version":[{"id":19994,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19991\/revisions\/19994"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/19992"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=19991"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=19991"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=19991"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}