Uma das maneiras mais simples de se endereçar questões de Segurança Cibernética é por meio da análise de logs, seja por uma forma proativa ou reativa. Logs são mensagens originadas por software ou hardware de todo tipo e servem para mostrar detalhadamente acessos e funções executadas à partir de tal fonte de log.

Existem basicamente duas formas de analisar os logs: por um sistema de gerência de logs ou por um SIEM. Na forma mais simples, podemos utilizar o sistema de gerência de logs (Log Management System – LMS), uma solução que armazena os logs criados pelas fontes (firewall, servidores, banco de dados, serviços de e-mail, roteadores entre outros) em um repositório centralizado, permitindo a consulta de tais eventos.

Quando o comparamos com o SIEM (Security Information and Event Management – Gerenciamento e Correlação de Eventos de Segurança), a diferença fica bem clara: um LMS pode até receber e armazenar logs, porém pesquisas e alertas seriam possibilidades com resultados muito básicos. Já em um SIEM, pesquisas e alertas são inerentes ao sistema, permitindo-nos trabalhar com regras e níveis de priorização, recebendo alarmes de diversas formas (e-mail, SMS, entre outros) uma vez que determinada condição de anomalia é identificada. Já a pesquisa nos logs é muito útil não só para a fase inicial de um incidente, como também para uma análise forense, futura. Para redes com fontes de eventos que sejam numerosas e diversificadas, o SIEM será a solução mais adequada.

Quando precisamos emitir um relatório, seja ele customizado ou padronizado em alguma norma ou regulamentação (PCI, HIPAA, SOX, ISO), SIEM é a melhor escolha. O SIEM já possui templates prontos e a possibilidade de customizar relatórios. Tentar adaptar essa necessidade a um LMS se torna inviável. O mesmo pode ser dito sobre dashboards, já disponíveis para uso ou adaptação no SIEM, ao contrário do LMS.

Levando em conta que a análise de logs começa no momento em que se recebem os eventos gerados pela rede, um SIEM permite o uso de regras para identificar um comportamento anômalo ou ofensa, provendo uma resposta ao incidente, a qual pode ser medida pelo MTTD (Mean Time to Detect), nos possibilitando aproximar de uma detecção em tempo real, o que não ocorre através do LMS, que exige certo trabalho manual.

Outro ponto que devemos sempre ter em mente é que LMS representa uma forma simplificada de trabalhar com os logs recebidos, enquanto SIEM pode ter muitas funcionalidades agregadas à resposta ao incidente, como Threat Intelligence, análise comportamental (UEBA – User and entity behavior analytics), integração com soluções de Vulnerability Assessment, análise de fluxos de rede e integração com diversas fontes de rede de diversos fabricantes (hardware, software, serviços em nuvem, entre outros).

Tamanha discrepância cobra um preço: a arquitetura de SIEM é bem mais complexa que a de um LMS, exigindo vários componentes como sensores, coletores, processors, console entre outros. Já um LMS é muito mais enxuto em sua representação necessitando de apenas 1 servidor. Apesar da diferença de custo ser enorme, a diferença do resultado também é.