SóProvas

SIEM significa Security Information and Event Management. As ferramentas SIEM geralmente fornecem dois resultados principais: relatórios e alertas. Os relatórios agregam e exibem incidentes e eventos relacionados à segurança, como atividades maliciosas e tentativas de login malsucedidas. Os alertas serão acionados se o mecanismo de análise da ferramenta detectar atividades que violam um conjunto de regras, sinalizando, consequentemente, um problema de segurança

https://seginfo.com.br/2020/09/03/o-que-e-siem-e-quais-suas-principais-funcionalidades/

Mesmo sem saber absolutamente nada sobre SIEM é possível marcar como errado.

ERRADO

O software SIEM coleta e agrega dados de log gerados em toda a infraestrutura de tecnologia da organização, desde sistemas host e aplicativos até dispositivos de rede e segurança, como firewalls e filtros antivírus.

GABARITO: ERRADO.

A FERRAMENTA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO - SIEM, é um mecanismo que utiliza a técnica exemplificada na questão.

SIEM ( Security Information and Event Management ). As ferramentas SIEM geralmente fornecem dois resultados principais: relatórios e alertas. Os relatórios agregam e exibem incidentes e eventos relacionados à segurança, como atividades maliciosas e tentativas de login malsucedidas. Os alertas serão acionados se o mecanismo de análise da ferramenta detectar atividades que violam um conjunto de regras, sinalizando, consequentemente, um problema de segurança.

Os maiores benefícios que as ferramentas SIEM oferecem são identificação aprimorada e tempo de resposta por meio da agregação e normalização de dados. Além disso, e tão importante, eles aceleram a detecção de ameaças, alertas de segurança e atendimento aos requisitos de conformidade.

As ferramentas SIEM oferecem ao DevOps e às equipes de segurança a capacidade de visualizar os dados de log de aplicativo, infraestrutura e rede coletados de todos os hosts do sistema em uma única interface. Só isso acelera o processo de resposta a incidentes de segurança. Ele permite que as equipes de segurança e TI identifiquem um ataque e rastreiem as pegadas do invasor por meio dos componentes da rede. Os dados de registro centralizados ajudam a identificar quais hosts o ataque infiltrado e/ou afetado.

As ferramentas SIEM geralmente vêm com um mecanismo automatizado para gerar notificações sobre possíveis violações. Essas ferramentas podem responder automaticamente e até mesmo interromper os ataques enquanto eles ainda estão em andamento. Por exemplo, eles podem conter ou desconectar hosts possivelmente comprometidos, minimizando o impacto de qualquer violação. Quando se trata de lidar com eventos de segurança, velocidade e eficiência são grandes vantagens. As ferramentas SIEM fornecem isso ajudando as equipes a responder mais rapidamente a incidentes autenticados, bem como reduzindo a reputação potencial e os impactos financeiros de uma violação.

Os padrões atuais da indústria exigem que todas as empresas tenham a capacidade de localizar e apresentar informações sobre eventos. Da mesma forma, as empresas precisam ser responsáveis ​​por todas as operações feitas em seus sistemas. 

A  desenvolveu o , sistema que permite que os eventos gerados por diversas fontes de dados sejam coletados, normalizados e armazenados de forma centralizada; fornecendo assim uma visão ampla sobre o seu parque tecnológico e maior agilidade na identificação de ameaças através de técnicas de agregação e correlacionamento de dados.

O Octopus SIEM tem como base a Elastic Stack e em 2017 se tornou a 1º parceria OEM (Original Equipment Manufacturer) da Elastic na América Latina e o primeiro caso de uso em Segurança da Informação. 

fonte: https://seginfo.com.br/2020/09/03/o-que-e-siem-e-quais-suas-principais-funcionalidades/

Conceito de Teste de Caixa Branca.

Teste de caixa-branca é uma técnica de teste que usa a perspectiva interna do sistema para modelar os casos de teste. No teste de software, a perspectiva interna significa basicamente o código fonte. No teste de hardware, cada nó de um circuito pode ser testado.

Fonte: Wikipedia

Como esse assunto apareceu no edital?

Dessa tonelada de textos do Rodrigo, vamos extrair o q é útil(nosso objetivo aqui é ajudar, não atrapalhar!!!):

Ferramentas SIEM fornecem dois resultados principais: relatórios, q exibem incidentes e eventos relacionados à segurança, e alertas, q serão acionados se a ferramenta detectar atividades que violam as regras.

As ferramentas SIEM possuem 1 mecanismo automatizado para gerar notificações sobre possíveis violações, e podem responder automaticamente e até mesmo interromper os ataques enquanto eles ainda estão em andamento, podendo desconectar hosts possivelmente comprometidos, minimizando o impacto de qualquer violação.

Em seguida, vem a bomba!!! A pergunta q não quer calar!!! Jamais!!!

Essas ferramentas funcionam junto a um firewall e, nesse caso, substituem os recursos IDS/IPS? Não, não substituem, Elas trabalham juntas. O SIEM é para gerenciamento de eventos.

Referência:

[1] https://seginfo.com.br/2020/09/03/o-que-e-siem-e-quais-suas-principais-funcionalidades/

SIEM significa Security Information and Event Management.

As ferramentas SIEM geralmente fornecem dois resultados principais: relatórios e alertas.

Os relatórios agregam e exibem incidentes e eventos relacionados à segurança, como atividades maliciosas e tentativas de login malsucedidas.

Os alertas serão acionados se o mecanismo de análise da ferramenta detectar atividades que violam um conjunto de regras, sinalizando, consequentemente, um problema de segurança.

Os maiores benefícios que as ferramentas SIEM oferecem são identificação aprimorada e tempo de resposta por meio da agregação e normalização de dados. Além disso, e tão importante, que eles aceleram a detecção de ameaças, alertas de segurança e atendimento aos requisitos de conformidade.

Fonte: pesquisas na internet.

SIEM - gerenciamento de segurança e eventos para analise de notificacoes de segurança e componentes de rede