SóProvas

ID
1768267
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Banco de Dados
Assuntos

Julgue o item subsequente, a respeito de SIEM (security information and event management), uma tecnologia composta por software e sistemas que, entre outras funções, auxiliam no processo de segurança da informação de uma organização.

Um SIEM pode fazer uso de gerenciadores de banco de dados para armazenar grandes volumes de dados que foram previamente normalizados e que podem ser úteis na resolução de incidentes de rede

Alternativas
Comentários

  • Gabarito Certo

    Uma solução SIEM permite que os eventos gerados por diversas aplicações de segurança (tais como firewalls, proxies, sistemas de prevenção a intrusão (IPS) e antivírus sejam coletados, normalizados, armazenados e correlacionados; o que possibilita uma rápida identificação e resposta aos incidentes.

    Enquanto ferramentas SEM oferecem monitoramento em tempo real dos eventos de segurança, coletando e agregando os dados (com resposta automática em alguns casos); uma ferramenta SIM oferece análise histórica dos eventos de segurança, também coletando e correlacionando os eventos, porém não em tempo real; o que permite consultas mais complexas ao repositório.

    As soluções SIEM combinam os recursos oferecidos em ambas as tecnologias (SIM e SEM).

    O termo foi cunhado em 2005 por Mark Nicolett e Amrit Williams da Gartner, descrevendo um produto capaz de coletar, analisar e apresentar informações dos dispositivos de segurança de rede; softwares de controle de acesso; gerenciamento de vulnerabilidades; ferramentas de conformidade; logs de sistema operacional, banco de dados e aplicações; e por último, dados de ameaças externas.

    Com base nos problemas citados, uma solução SIEM tenta atender com as seguintes características:

    Acesso em tempo real, centralizado e consistente a todos os logs e eventos de segurança, independente do tipo de tecnologia e fabricante;

    Correlação de logs de tecnologias heterôgeneas, conectando atributos comuns e/ou significativos entre as fontes, de modo a transformar os dados em informação útil;

    Identificação de comportamentos, incidentes, fraudes, anomalias e quebras de baseline;

    Alertas e notificações que podem ser disparadas automaticamente no caso de não conformidade com as políticas de segurança e/ou normas regulatórias, ou ainda, de acordo com as regras de negócio pré-estabelecidas;

    Emissão de relatórios sofisticados sobre as condições de segurança do ambiente para equipes de SOC (security operations center) auditoria ou resposta a incidentes;

    Retenção e indexação a longo prazo dos dados possibilitando posterior análise forense;

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Em geral, as ferramentas SIEM vêm com um mecanismo automatizado para gerar notificações sobre possíveis violações e podem responder automaticamente e até mesmo interromper os ataques enquanto eles ainda estão em andamento.

    As ferramentas SIEM geralmente fornecem dois resultados principais: os relatórios, que agregam e exibem incidentes e eventos relacionados à segurança; e os alertas, que serão acionados se o mecanismo de análise da ferramenta detectar atividades que violam um conjunto de regras.