Guia de Planejamento de Monitoramento de Segurança e Detecção de Ataques
Capítulo 1 - Introdução
Nesta página
SinopseOs extensos relatórios da mídia sobre a disseminação de softwares mal-intencionados através da Internet aumentou significativamente o perfil das ameaças externas aos recursos de rede das organizações. Entretanto, algumas das maiores ameaças à infra-estrutura de qualquer organização vêm de ataques originados na rede interna. Os ataques internos com maior potencial de dano resultam das atividades de pessoas nas posições mais confiáveis, como os administradores de rede. A análise das ameaças internas e externas levaram muitas organizações a pesquisar sistemas que monitoram as redes e detectam ataques. Para organizações cujas operações são limitadas por normas, o monitoramento de segurança é um requisito operacional. Elevados requisitos prescritivos de diversas instituições em todo o mundo impõem maiores demandas de que as organizações monitorem suas redes, verifiquem as solicitações de acesso a recursos e identifiquem os usuários que fazem logon e logoff na rede. As considerações normativas também podem demandar que as empresas arquivem dados de segurança monitorados por determinados períodos de tempo. Os recursos de log de segurança do Microsoft® Windows® oferecem o ponto de partida para um pacote com capacidade de monitorar a segurança. No entanto, os logs de segurança sozinhos não oferecem informações suficientes para o planejamento de uma resposta a um incidente. Os logs de segurança aliados a outras tecnologias que coletam e consultam logs de segurança podem formar uma parte central de um sistema de monitoramento de segurança e detecção de ataques. Este guia descreve como planejar um sistema de monitoramento de segurança em redes baseadas no Windows. Esse sistema pode detectar ataques originados de fontes internas e externas. O objetivo principal de um sistema de monitoramento de segurança é identificar eventos anormais na rede que indiquem atividade mal-intencionada ou erros de procedimentos. O desafio comercialAs empresas enfrentam diversos desafios para implementar sistemas de monitoramento de segurança eficientes em redes de grande porte. As empresas devem:
Esses desafios também se aplicam a organizações com requisitos de rede menos complexos. Os benefícios comerciaisO monitoramento de segurança oferece dois benefícios principais para as organizações de todos os portes: a capacidade de identificar ataques enquanto eles ocorrem e a capacidade de realizar perícias nos eventos ocorridos antes, durante e após um ataque. Com a capacidade de detectar ataques enquanto eles ocorrem, os departamentos de segurança podem reagir rapidamente para reduzir os danos permanentes na infra-estrutura da rede. Os dados periciais também ajudam os investigadores a identificar a extensão do ataque. Outros benefícios do monitoramento de segurança incluem:
Para obter mais informações sobre esses benefícios, consulte o Capítulo 2, "Abordagens para o monitoramento de segurança". A quem este documento se destinaEste guia fornece informações úteis para organizações com preocupações de privacidade rígida, especialmente aquelas limitadas por normas. Ele se aplica a organizações de todos os portes que requerem proteção de identidade e controle de acesso a dados. O público-alvo deste guia inclui gerentes e especialistas de TI, como arquitetos corporativos e administradores de segurança corporativa. Além disso, os consultores que precisam planejar, implantar ou operar redes baseadas no Windows e os responsáveis por decisões técnicas devem considerar essas informações úteis. Pré-requisitos do leitorPara compreender as soluções apresentadas por este guia, os leitores devem entender e estar familiarizados com os problemas de segurança e o perfil de risco de sua própria rede. Eles também devem estar familiarizados com o serviço de log de eventos do Windows. Este guia usa os quadrantes de suporte e de operação do modelo de processo do Microsoft Operations Framework (MOF). Ele também usa as funções de gerenciamento de serviço (SMFs) de administração de segurança e gerenciamento de incidentes do MOF. Para obter mais informações sobre o MOF, consulte o site Microsoft Operations Framework (em inglês) em www.microsoft.com/mof. Visão geral do Guia de PlanejamentoEste guia consiste em quatro capítulos que enfocam os problemas e os conceitos essenciais para o planejamento de uma solução de monitoramento de segurança e detecção de ataques. Os capítulos são: Capítulo 1: Introdução Esse capítulo fornece uma sinopse, apresenta os desafios e os benefícios comerciais, destaca o público-alvo para o documento, lista os pré-requisitos do leitor e fornece uma visão geral dos capítulos e os cenários de solução incluídos neste guia. Capítulo 2: Abordagens para o monitoramento de segurança Esse capítulo oferece uma visão geral das diversas opções para a implementação de uma solução de monitoramento de segurança e detecção de ataques que usa tecnologias Microsoft e de terceiros. Capítulo 3: Problemas e requisitos Esse capítulo descreve como correlacionar o escopo do monitoramento de segurança com outros requisitos comerciais e a série conhecida de ameaças e ataques potenciais a uma rede corporativa. Ele discute os desafios comerciais, técnicos e de segurança sobre como:
Esse capítulo define uma violação de diretiva como qualquer desvio com relação às diretivas organizacionais. Por fim, o capítulo lista os requisitos da solução para um sistema de monitoramento de segurança e detecção de ataques. Capítulo 4: Projeto da solução Esse capitulo fornece informações detalhadas sobre como usar o monitoramento de segurança para detectar ataques e implementar arquivos mortos de auditorias de segurança. Ele descreve a configuração recomendada para o monitoramento de segurança eficiente e as alterações que as organizações precisam fazer em diretivas de segurança. O capítulo também fornece orientação prescritiva detalhada sobre como implementar o monitoramento de segurança avançado em organizações de grande porte. Essa orientação prescritiva descreve como tratar dos problemas de armazenamento de auditoria para grandes volumes de eventos de segurança e como planejar a detecção de ataques em redes distribuídas.
|
Neste artigo
|
