SIEM. Denny Roger
2025-05-22 18:31![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
bga68compDenny Roger
https://www.linkedin.com/in/dennyroger/
LinkedIn Top Voice | SOC Builder | Cybersecurity Startup Builder | 23 anos de consultoria estratégica em cibersegurança | Master Coach | Triatleta
Сан-Паулу, Бразилия
SIEM (Security Information and Event Management):
Думаєш, що SIEM — це просто миготливі алерти? Тоді присядь, я покажу, як все працює насправді.
Справжній SIEM — це цикл. Живий механізм. І якщо хоч одна шестерня в цій машині вийде з ладу — все, прогавиш атаку і дізнаєшся про неї з новин. Тож розберімо цю систему по пунктах:
1. Збір журналів (Log Collection)
Усе починається тут. Немає логів — немає безпеки. SIEM бачить тільки те, що збирає. Жодних логів з фаєрволів, AD, кінцевих точок чи Microsoft 365? Це як намагатися скласти пазл без головних частин.2. Обробка журналів (Log Processing)
Зібрав логи? Тепер їх треба привести до ладу. Фільтрація, нормалізація, уніфікація — усе має бути готове до аналізу. Інакше отримаєш цифрове звалище, в якому не розбереться ніхто.3. Зберігання (Storage)
Де ти це все зберігаєш? І скільки часу? Тут в гру вступають Retention (строк зберігання або політика зберігання), Compliance (відповідність вимогам або дотримання нормативів) і політики зберігання. Бачив компанії, які отримували штрафи, бо видаляли логи через 15 днів. Без стратегії зберігання — болючі проблеми гарантовані.4. Запити (Querying)
Дані є — а запитати вмієш? Тут вирішується, аналітик ти чи просто пасажир. Уміння ставити правильні запитання до логів — це те, що відрізняє ефективний SOC від загублених у логах людей.5. Кореляція (Correlation)
А ось і магія. SIEM зв’язує події: підозрілий логін + нетиповий аплоад + нічний трафік = інцидент. Правильна кореляція — це коли бачиш загрозу до того, як вона стане проблемою.6. Дашборди (Dashboards)
Все добре, але CISO хоче бачити цифри. Дашборд має розповідати історію, а не просто бути красивою картинкою. Якщо з нього не можна приймати рішень — це просто декорація для презентації.7. Застереження (Alerts)
SIEM починає кричати. Але чому саме? Якісне застереження має контекст, пріоритет і план дій. Погане застереження — просто шум, який виснажує команду SOC.8. Управління інцидентами (Incident Management)
Дійшли до інциденту? Тепер важливо діяти: створити тікет, слідувати плейбуку, правильно повідомити й швидко вирішити. Цикл завершується — і починається знову, з урахуванням набутого досвіду.Підсумок?
SIEM — це не просто інструмент. Це спосіб мислення. Це мозок добре організованого SOC.
А якщо ти не поєднав усі компоненти — у тебе просто дорогий інтерфейс з маленькою користю.
Оригінал:
https://www.linkedin.com/posts/dennyroger_t%C3%A1-achando-que-siem-%C3%A9-s%C3%B3-alerta-piscando-activity-7330840895459667970-OHWR
Tá achando que SIEM é só alerta piscando? Então senta aí, que eu vou te explicar como o jogo realmente funciona.
Um SIEM de verdade tem um ciclo. Uma engrenagem viva. E se alguma peça dessa máquina estiver fora do lugar, já era. Você só vai descobrir o ataque quando sair no jornal. Então bora quebrar essa imagem aqui, ponto por ponto:
1. Log Collection
Tudo começa aqui. Se não tiver log, não tem conversa. O SIEM só enxerga o que ele coleta. Sem log de firewall, AD, endpoint e M365… é como tentar resolver um quebra-cabeça sem as peças principais.
2. Log Processing
Pegou os logs? Agora precisa dar uma organizada. Filtrar o que presta, normalizar os dados e deixar tudo pronto pra análise. Senão vira um mar de lixo digital que ninguém consegue usar.
3. Storage
Guardou onde? E por quanto tempo? Aqui entra retenção, compliance e governança. Já vi empresa ser multada porque deletou log em 15 dias. Segurança sem estratégia de armazenamento é receita pra dor de cabeça.
4. Querying
Não adianta ter dado se você não sabe perguntar. Aqui é onde o analista brilha ou apanha: saber fazer as consultas certas é o que separa um bom SOC de um monte de gente perdida em log.
5. Correlation
Aqui começa a mágica. O SIEM conecta os pontos. Junta aquele login suspeito com o upload estranho e o tráfego esquisito de madrugada. Se você correlaciona bem, você vê antes de doer.
6. Dashboards
Tá tudo bonito, mas o CISO quer ver número. Dashboard é pra contar história com dado. Mas cuidado: gráfico bonito que não serve pra decisão é só enfeite de PowerPoint.
7. Alerts
Beleza. Agora o SIEM grita. Mas gritar por quê? Alerta bom tem contexto, tem prioridade e tem plano de ação. Alerta ruim é só barulho que cansa o time.
8. Incident Management
Chegou aqui? Agora é hora de responder. Criar ticket, seguir playbook, comunicar certo e resolver rápido. A máquina gira até fechar o ciclo — e volta pro começo, com aprendizado.
Resumo da ópera?
SIEM não é uma ferramenta. É uma mentalidade. É o cérebro de um SOC bem feito. Mas se você não integra as capacidades, você só tem um monte de botão caro com pouca entrega.
Quer fazer direito? Conecta tudo. Entenda o ciclo. E nunca esqueça: dado sem propósito é só custo.
Tags:
