31.01.2025

Configurar o sistema SIEM no Debian

Obtenha uma ampla compreensão do gerenciamento e do controle do sistema SIEM, da configuração e da manutenção, o que pode ajudar a aumentar a eficácia e a velocidade de reação a incidentes cibernéticos e fornecer um modo de alta segurança para o seu sistema de informações. Obtenha conhecimento sobre o tipo de arquitetura construída com o SIEM para pequenas e médias empresas. Explore mais recursos de controle de incidentes cibernéticos, com base na análise de correlação e nos métodos de gerenciamento de riscos.

Sistema SIEM

SIEM (Gerenciamento de eventos de segurança + Gerenciamento de informações de segurança) - sistemas que monitoram sistemas de informações, analisam eventos de segurança em tempo real provenientes de dispositivos de rede, ferramentas de segurança da informação, serviços de TI, design e infraestrutura de aplicativos e ajudam a detectar incidentes de segurança da informação. Problemas de detecção de incidentes em redes corporativas:

Configuração do sistema SIEM

Antes de instalar qualquer software, precisamos atualizar o índice e o pacote no Debian:

sudo apt update && sudo apt upgrade -y

Screenshot №1 - Update package

Próxima etapa: instalar os pacotes necessários.

sudo apt-get install suricata

Screenshot №2 - Instalação

Configurar o Suricata

sudo nano /etc/suricata/suricata.yaml

Screenshot №3 - Open config

No arquivo de configuração, defina a interface de rede apropriada para o Suricata monitorar:

default-log-dir: /var/log/suricata/
...
af-packet:
- interface: enp0s5

Screenshot №4 - Change interface

Observação: substitua "enp0s5" pelo nome de sua interface de rede; você pode usar o comando abaixo:

ifconfig

Screenshot №5 - Check your config

Salve e feche o arquivo de configuração. Inicie o Suricata no modo IDS:

sudo suricata -c /etc/suricata/suricata.yaml -i enp0s5 --init-errors-fatal

Screenshot №6 - Check status

Verifique se o Suricata está em execução verificando seus arquivos de registro:

tail -f /var/log/suricata/fast.log

Como resultado, o sistema de saída se parecerá com uma cadeia de caracteres com informações sobre suas configurações; se você não inserir nenhum valor, receberá uma resposta apropriada.

Conclusão do sistema SIEM

Concluindo, a configuração de um sistema SIEM de código aberto no Debian é uma etapa crucial para aumentar a segurança dos sistemas de informações para pequenas e médias empresas. Os sistemas SIEM ajudam a detectar possíveis incidentes de segurança por meio do monitoramento e da análise de eventos de segurança em tempo real. No entanto, a detecção de incidentes em redes corporativas pode ser um desafio devido ao alto volume de eventos gerados por várias ferramentas e dispositivos de segurança. Com um sistema SIEM configurado adequadamente, as empresas podem gerenciar com eficácia os incidentes cibernéticos com base na análise de correlação e nos métodos de gerenciamento de riscos, proporcionando, assim, um modo de alta segurança para seu sistema de informações.