SóProvas

ID
1768264
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o item subsequente, a respeito de SIEM (security information and event management), uma tecnologia composta por software e sistemas que, entre outras funções, auxiliam no processo de segurança da informação de uma organização.

Um SIEM é capaz de coletar logs de diversos dispositivos e fazer a correlação entre eles; entretanto, um SIEM só trabalha com padrão Syslog, que é o padrão internacional de geração de eventos de log.

Alternativas
Comentários

  • Não entendi muito bem a questão, mas marquei errado por dois motivos:

     

    1) pela palavra ''só'';

    2) porque me lembrei algo sobre Syslog ser muito usado pelo Linux.

     

  • Gabarito Errado

    Uma solução SIEM permite que os eventos gerados por diversas aplicações de segurança (tais como firewalls, proxies, sistemas de prevenção a intrusão (IPS) e antivírus sejam coletados, normalizados, armazenados e correlacionados; o que possibilita uma rápida identificação e resposta aos incidentes.

    Enquanto ferramentas SEM oferecem monitoramento em tempo real dos eventos de segurança, coletando e agregando os dados (com resposta automática em alguns casos); uma ferramenta SIM oferece análise histórica dos eventos de segurança, também coletando e correlacionando os eventos, porém não em tempo real; o que permite consultas mais complexas ao repositório.

    As soluções SIEM combinam os recursos oferecidos em ambas as tecnologias (SIM e SEM).

    O termo foi cunhado em 2005 por Mark Nicolett e Amrit Williams da Gartner, descrevendo um produto capaz de coletar, analisar e apresentar informações dos dispositivos de segurança de rede; softwares de controle de acesso; gerenciamento de vulnerabilidades; ferramentas de conformidade; logs de sistema operacional, banco de dados e aplicações; e por último, dados de ameaças externas.

    Com base nos problemas citados, uma solução SIEM tenta atender com as seguintes características:

    Acesso em tempo real, centralizado e consistente a todos os logs e eventos de segurança, independente do tipo de tecnologia e fabricante;

    Correlação de logs de tecnologias heterôgeneas, conectando atributos comuns e/ou significativos entre as fontes, de modo a transformar os dados em informação útil;

    Identificação de comportamentos, incidentes, fraudes, anomalias e quebras de baseline;

    Alertas e notificações que podem ser disparadas automaticamente no caso de não conformidade com as políticas de segurança e/ou normas regulatórias, ou ainda, de acordo com as regras de negócio pré-estabelecidas;

    Emissão de relatórios sofisticados sobre as condições de segurança do ambiente para equipes de SOC (security operations center) auditoria ou resposta a incidentes;

    Retenção e indexação a longo prazo dos dados possibilitando posterior análise forense;

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Simone, vamos direto ao ponto: SIEMs recebem logs de várias formas, como Syslog, SNMP, arquivos e flows. 

  • e-

    A SIEM system aggregates security data from many different sources (as long as those sources support an open-standard logging format). It also provides capabilities for threat detection and response.

    https://docs.microsoft.com/en-us/learn/modules/protect-against-security-threats-azure/3-detect-respond-threats-sentinel