O Harpia representa uma evolução significativa em relação aos tradicionais Sistemas de Gerenciamento de Informações e Eventos de Segurança (SIEM). Ele incorpora tecnologias e funcionalidades avançadas para aprimorar a capacidade de uma organização detectar, responder, gerenciar e mitigar riscos de segurança da informação.
O Harpia é um exemplo de um SIEM "Next Generation" (NG-SIEM), projetado para abordar questões de desempenho, escalabilidade e outros desafios enfrentados pelos SIEMs tradicionais. Essa abordagem moderna auxilia as organizações a atenderem às crescentes demandas de segurança cibernética.
O HARPIA é uma plataforma de Serviço de Monitoramento de Ataques Cibernéticos (SIEM) que contribui com qualquer organização que deseja proteger seus ativos digitais contra ameaças cibernéticas. Um dos diferenciais é a capacidade de criação de modelos de exibição de dados na interface gráfica. Esta funcionalidade permite que os analistas de segurança personalizem as informações apresentadas de acordo com suas necessidades específicas durante uma investigação.
A visualização das informações no HARPIA pode ser baseada no contexto da investigação, permitindo um enfoque mais eficiente e direcionado nas ameaças detectadas. Por exemplo, se uma investigação estiver focada em tentativas de acesso não autorizado, o analista pode configurar a interface para mostrar exclusivamente logs de autenticação e eventos relacionados a tentativas de login suspeitas.
Além disso, a criação de modelos de exibição facilita a adaptação do SIEM a diferentes cenários e requisitos de segurança. Cada organização pode ter diferentes prioridades e riscos, e a capacidade de moldar a exibição dos dados permite que o HARPIA se alinhe perfeitamente com as estratégias de segurança específicas de cada empresa. Isso não apenas melhora a eficácia da detecção de ameaças, mas também otimiza o tempo e os recursos dos analistas, que podem concentrar seus esforços nas áreas mais críticas, além de aumentar significativamente a eficiência e a precisão das investigações de segurança cibernética.
O Harpia contempla algumas funções separadas em diferentes servidores, como por exemplo, módulo de gerenciamento, coletor e arquivamento de logs, e módulo de correlação.
O Harpia é uma plataforma unificada, com console centralizada, acessível via browser web, que realiza investigações, consulta de logs, fluxos, eventos em estações e servidores, gestão de incidentes, gestão de alertas, gestão de relatórios, e gestão de inteligência externa. Os módulos que compõem a solução se integram de forma nativa e visam constituir um ambiente integrado de análise, investigação, inteligência, defesa cibernética e resposta a incidentes nos processos. É possível detectar a má utilização de sistemas e tentativas sequenciais de utilização suspeitas, inclusive, entre sistemas e plataformas diferentes.
O Harpia lida eficazmente com grandes volumes de dados em "quase tempo real" e pode aproveitar a inteligência artificial (IA) e machine learning para melhorar a detecção.
Para atender às demandas modernas de segurança cibernética, o HARPIA é capaz de processar, no mínimo, um volume de tráfego de rede de 1.000 Mbps (mil Megabits por segundo). Este requisito de desempenho é essencial para garantir que a solução possa analisar grandes volumes de dados em tempo real, oferecendo uma detecção precisa e uma resposta rápida a incidentes de segurança.
A capacidade de processar um volume de tráfego de rede de 1.000 Mbps é crucial para a eficácia do HARPIA, devido a fatores como: análise em tempo real, ou seja, o HARPIA é capaz de analisar eventos e fluxos de dados em tempo real, detectando ameaças emergentes de forma imediata e permitindo respostas rápidas por parte das companhias; manutenção da performance no processamento de grandes volumes de dados sem degradar o desempenho da ferramenta; e cobertura abrangente, desde tráfego até anomalias e comportamentos suspeitos, proporcionando uma visão completa e detalhada do ambiente de segurança da organização.
A capacidade de processar um volume de tráfego de rede de 1.000 Mbps oferece várias vantagens que fortalecem a eficácia da solução SIEM:
Para suportar o processamento de 1.000 Mbps de volume de tráfego de rede, o HARPIA foi projetado com uma arquitetura robusta e componentes de alto desempenho que permitem realizar processamento com grandes volumes de dados de forma simultâneas, garantindo uma análise rápida e eficaz; capacidade de armazenamento de alto desempenho para gerenciar e manter logs e eventos de rede, com acesso rápido e eficiente para análise e investigação dos dados gerados; tecnologias avançadas para ser eficiente na coleta e correlacionamento de dados.
A capacidade da solução SIEM HARPIA de processar, no mínimo, 1.000 Mbps de volume de tráfego de rede fornece uma detecção eficaz e uma resposta ágil a ameaças de segurança. Essa capacidade assegura que a solução possa lidar com grandes volumes de dados, oferecendo uma visão abrangente e em tempo real do ambiente de segurança, e capacitando a organização a manter uma postura de defesa cibernética robusta e proativa.
Processamento de dados
O HARPIA oferece uma capacidade robusta de processamento de logs, eventos e informações de fluxo, mantendo a taxonomia dos metadados em todos os tipos de mídia. Isso significa que a plataforma é capaz de coletar, analisar e correlacionar uma ampla variedade de dados de segurança, fornecendo uma visão abrangente das atividades na rede e identificando potenciais ameaças cibernéticas de forma eficaz. O HARPIA ainda não tem a capacidade de processar pacotes de rede, porém mantém integra toda a taxonomia, já que não realiza manipulação nos dados coletados.
A plataforma HARPIA é capaz de processar e interpretar logs de segurança de uma variedade de fontes, como firewalls, antivírus, IDSs, proxies, sistemas de detecção de intrusões, servidores web e DNS, roteadores, balanceadores de carga, switches e demais dispositivos de rede e aplicativos (consultar o fabricante). Ela normaliza e enriquece esses logs, convertendo-os em informações acionáveis para análise e investigação.
O HARPIA integra de forma eficiente com os mainframes IBM z/OS, coletando logs de eventos diretamente desses sistemas. Isso inclui a coleta de logs de várias áreas operacionais, como:
O RACF é um sistema de controle de acesso robusto utilizado no IBM z/OS para gerenciar permissões e autenticações de usuários. O SIEM coleta logs de eventos de RACF, incluindo autenticações, gerenciamento de permissões e tentativas de acesso.
A capacidade do SIEM de coletar e interpretar logs de IBM z/OS e RACF é fundamental para garantir a segurança dos sistemas mainframe. Esta funcionalidade permite uma análise abrangente e proativa das atividades de segurança, fortalecendo a defesa cibernética e facilitando a resposta rápida a incidentes, ao mesmo tempo que assegura conformidade com requisitos regulatórios.
Além dos logs, o SIEM pode processar informações de fluxo de rede, que fornecem uma visão detalhada do tráfego de rede em tempo real. Isso inclui dados como endereços IP de origem e destino, portas de comunicação, protocolos utilizados e volume de dados transferidos.
O SIEM mantém uma taxonomia consistente dos metadados em todos os tipos de mídia, garantindo que os dados sejam categorizados e classificados de forma consistente e precisa. Isso facilita a correlação de eventos e a identificação de padrões de comportamento suspeitos em toda a infraestrutura de TI.
Para garantir a segurança e a integridade dos dados em um ambiente, a comunicação entre todos os componentes do SIEM HARPIA foi implementada utilizando protocolos de criptografia robustos. Toda a comunicação feita pela plataforma é realizada via HTTPS (Hypertext Transfer Protocol Secure), assegurando que todas as trocas de informações entre os módulos sejam protegidas contra interceptação e manipulação.
A utilização do HTTPS como padrão de comunicação criptografada no SIEM oferece múltiplas camadas de segurança:
- Criptografia dos Dados em Trânsito: Todas as informações transmitidas entre os componentes do SIEM são criptografadas, tornando-as ilegíveis para qualquer entidade não autorizada que tente interceptá-las. Isso é crucial para proteger dados sensíveis e logs de segurança contra-ataques.
- Autenticação e Integridade: O protocolo HTTPS garante que os dados sejam transmitidos de forma autêntica e íntegra. Isso significa que o destinatário pode verificar a origem dos dados e ter certeza de que eles não foram alterados durante a transmissão. O uso de certificados SSL/TLS estabelece um canal seguro, validando a identidade dos componentes do SIEM que estão se comunicando.
- Proteção Contra Ameaças: Implementar comunicação via HTTPS reduz significativamente o risco de ataques que exploram vulnerabilidades em protocolos de comunicação não seguros, como injeções de código ou eavesdropping. Isso contribui para um ambiente de segurança mais resistente a intrusões e manipulações externas.
- Conformidade com Normas de Segurança: O uso de HTTPS é frequentemente um requisito em regulamentações de segurança e conformidade, como o GDPR, PCI-DSS e outros padrões. Isso ajuda as organizações a atenderem às exigências de segurança e privacidade de dados impostas por tais normas, evitando penalidades e melhorando a confiança do cliente.
Benefícios da Comunicação Criptografada no SIEM
A adoção do HTTPS como protocolo de comunicação padrão no SIEM proporciona benefícios tangíveis para a segurança e eficiência operacional como confidencialidade dos dados; coesão e confiabilidade; simplificação da gestão de segurança.
A implementação da comunicação criptografada com HTTPS no HAPIA fortalece a segurança cibernética da organização, protege as comunicações internas do sistema, além de contribuir para a criação de um ambiente de segurança mais confiável e robusto.
Para garantir uma implementação eficiente e sem complicações, o HARPIA SIEM é fornecido juntamente com todos os sistemas operacionais e sistemas de gerenciamento de banco de dados necessários para seu pleno funcionamento. Esta abordagem integrada visa simplificar a instalação, otimizar a compatibilidade e assegurar que o sistema opere dentro dos parâmetros projetados, proporcionando um ambiente de segurança robusto e confiável.
O HARPIA vem com sistemas operacionais pré-configurados e compatíveis, garantindo que todas as funcionalidades do SIEM sejam suportadas de forma otimizada, o que garante benefícios como:
Gerenciamento de Banco de Dados
Além dos sistemas operacionais, o HARPIA inclui sistemas de gerenciamento de banco de dados (SGBDs) necessários para armazenar, consultar e gerenciar os dados coletados e processados. A inclusão desses sistemas proporciona:
Vantagens da Solução Completa
Ao fornecer o SIEM HARPIA com todos os sistemas operacionais e sistemas de gerenciamento de banco de dados necessários, a organização se beneficia de uma solução completa e integrada que minimiza a complexidade e maximiza a eficácia da segurança cibernética. Essa abordagem oferece vantagens como implantação rápida e sem necessidade de integração com outros componentes de software; ambiente testado, estável e confiável; suporte técnico eficiente e que promove melhorias contínuas.
Em resumo, ao integrar todos os sistemas operacionais e sistemas de gerenciamento de banco de dados necessários faz com que a solução SIEM HARPIA contemple uma estratégia eficaz que melhora a eficiência da implementação e operação do sistema, resultando em uma segurança cibernética mais sólida e adaptada às necessidades específicas da organização.
A plataforma oferece uma abordagem híbrida, permitindo integração perfeita com o ambiente local do cliente por meio de conectores locais.
A arquitetura do Harpia é foi construída de forma distribuída e possui módulos como: módulo de coleta de logs, geração de metadados, indexação, agregação, enriquecimento dos metadados dos coletores, correlacionamento de alertas e tratamento de incidentes, e módulo de gerência centralizada.
A arquitetura distribuída permite captura de logs, tráfego de rede via firewalls, e análise de forma centralizada de todas as capturas.
O Harpia pode ser migrado para qualquer nuvem pública devido aos seus componentes não imporem qualquer restrição de compatibilidade de fabricante. Atualmente, o Harpia é executado na nuvem da Oracle e AWS com 100% de seu processamento e armazenamento de dados no Brasil.
O HARPIA foi projetado para operar no modelo On-Premise, proporcionando controle total e segurança dos dados dentro das instalações da organização. Todos os componentes da solução SIEM são compatíveis com ambientes virtuais, suportando, no mínimo, a instalação em VMware vSphere nas versões 6.5, 6.0, 5.5 ou superiores. Esta compatibilidade é essencial para assegurar flexibilidade e escalabilidade na implantação da solução de segurança.
O modelo On-Premise contempla alguns benefícios, como:
A compatibilidade com ambientes virtuais amplia as possibilidades de implantação como flexibilidade de implementação, facilidade de gerenciamento, escalabilidade, resiliência que permite rápida recuperação em caso de falhas, e redução de custos ao otimizar o uso dos recursos disponíveis.
Sendo assim, a solução Siem Harpia no modelo On-Premise proporciona flexibilidade, controle e segurança, adaptando-se às necessidades tecnológicas da organização. Esta abordagem integrada assegura uma implantação eficiente, mantendo o desempenho, a escalabilidade e a confiabilidade essenciais para a proteção eficaz contra ameaças cibernéticas.
O Harpia oferece suporte nativo e automático para o arquivamento de logs e metadados em camadas, utilizando uma abordagem estruturada de hot, warm e cold storage. Esta funcionalidade garante uma gestão eficiente dos dados, otimizando o desempenho e os recursos de armazenamento, enquanto atende às necessidades de acessibilidade para análises históricas e custo-efetividade para retenção de longo prazo.
Implementar o arquivamento de logs e metadados em camadas dentro do HARPIA com suporte nativo e automático traz uma série de benefícios que aprimoram a gestão e a eficiência do sistema:
Com esta estrutura o Harpia proporciona uma solução robusta para a monitoração, armazenamento e recuperação de informações de segurança, adaptando-se às necessidades operacionais e de conformidade da organização. A coleta e armazenamento dos logs recebidos são gerados por ativos de rede e outros dispositivos, podendo ser utilizado para fins forenses.
Para otimizar a gestão e a retenção de dados, o HARPIA permite a especificação de períodos de retenção para dados online, classificados como hot, warm e cold storage. Além disso, a solução suporta a compactação e o arquivamento dos dados e metadados, utilizando áreas de armazenamento acessíveis via CIFS (Common Internet File System) e NFS (Network File System). Esta funcionalidade é essencial para garantir a eficiência de armazenamento e a acessibilidade dos dados de segurança, otimizando a utilização dos recursos e garantindo a acessibilidade e a segurança das informações de segurança cibernética.
Os períodos de retenção de dados hot, warm e cold são definidos de forma fixa pela contratada de acordo com o contrato realizado com a contratante. Todos os dados são compactados e armazenados em um bucket externo para ser consumido quando necessário.
O Harpia tem uma configuração dos períodos de retenção para dados em hot, warm e cold storage:
Hot Storage:
Warm Storage:
Uso: Adequado para dados de análise histórica e revisões periódicas, balanceando a necessidade de acessibilidade e eficiência de armazenamento.
Ao utilizar CIFS e NFS para o arquivamento de dados a plataforma oferece várias vantagens que melhoram a flexibilidade e a eficiência do armazenamento no HARPIA:
O HARPIA SIEM possui uma capacidade mínima de retenção dos registros de eventos por um período de 01 (um) ano. Esta retenção é essencial para a conformidade com políticas de segurança e auditoria, e segue uma estratégia estruturada baseada nas políticas de hot, warm e cold storage. Essa abordagem garante que os dados sejam armazenados de forma eficiente e escalável, garantindo que estejam acessíveis conforme as necessidades de análise e investigação de segurança. Sendo assim, os registros de cada cliente que contrata a ferramenta são baseados nas políticas hot, warm e cold contratadas pela contratante.
Essa estratégia assegura que a organização tenha acesso rápido aos dados críticos, otimize os recursos de armazenamento e cumpra com as normas de conformidade e auditoria, mantendo uma postura de segurança cibernética eficaz e responsiva.
Entre as vantagens de implementar políticas de hot, warm e cold storage para a retenção de registros no SIEM HARPIA podemos destacar:
Eficiência no Acesso aos Dados: A estrutura escalonada permite acesso rápido aos dados mais recentes e frequentes (hot storage), ao mesmo tempo em que gerencia eficientemente o armazenamento de dados que são menos acessados (warm e cold storage).
Otimização de Custos: A estratégia escalonada ajuda a reduzir custos de armazenamento, alocando recursos de acordo com a frequência de acesso e a criticidade dos dados, evitando o uso de armazenamento caro para dados raramente consultados.
Cumprimento de Normas e Auditorias: A retenção de dados por um ano, distribuída entre os diferentes níveis de armazenamento, assegura conformidade com requisitos de regulamentação e auditoria, mantendo registros disponíveis para inspeções e investigações de longo prazo.
O Harpia está equipado com algoritmos avançados de compressão nos sistemas de armazenamento de longo prazo, o que permite otimizar a utilização do espaço de armazenamento, reduzindo significativamente a quantidade de espaço necessário para manter grandes volumes de dados e registros de eventos de segurança, sem comprometer a integridade ou acessibilidade das informações.
A plataforma Harpia utiliza algoritmos de compressão sofisticados que aplicam técnicas de redução de tamanho a dados armazenados de longo prazo. Esses algoritmos são projetados para maximizar a eficiência da compressão, garantindo que os dados ocupem o mínimo de espaço possível, enquanto mantêm a capacidade de serem descomprimidos rapidamente quando necessário.
Com a implementação de algoritmos de compressão, o Harpia consegue reduzir o espaço de armazenamento necessário para guardar grandes volumes de dados de logs, informações de fluxo e outros eventos. Isso permite um gerenciamento mais econômico e eficiente dos recursos de armazenamento, especialmente em ambientes com grandes quantidades de dados, contribuindo para uma postura de segurança cibernética mais robusta e sustentável.
Oferece integração com plataformas de Orquestração, Automação e Resposta de Segurança (SOAR), possibilitando o atendimento, andamento, encerramento ou outras ações sobre um incidente serem tomadas de maneira automática.
O Harpia é altamente escalável, adaptando-se às necessidades individuais de cada cliente, sendo assim construído para que o volume de dados não seja uma limitação. Seu ambiente multi-tenant permite que cada cliente tenha sua performance medida individualmente, sendo a escalabilidade horizontal possível em todas as instâncias do produto.
O Harpia integra em seus motores fontes de ameaças de terceiros de maneira que seja possível habilitar por tenant pesquisas de ameaças utilizando a chave de acesso individual de cada tenant.
A plataforma integra-se com uma variedade de fontes de dados para coletar logs e eventos. Isso inclui dispositivos de segurança, como firewalls, sistemas de detecção de intrusões (IDS/IPS), e roteadores, além de servidores, aplicativos e sistemas operacionais
O ambiente Harpia pode ser implantado em até 48 horas.
A interface intuitiva e atrativa é uma característica distintiva do Harpia, tornando o produto acessível e convidativo para todos os usuários. Essa abordagem facilita significativamente a operação e a investigação de incidentes, proporcionando uma experiência fluida e eficaz no uso da plataforma.
O HARPIA proporciona uma administração abrangente e integrada através de uma console de gerência. Esta console permite a gestão eficiente de todos os componentes da solução SIEM, incluindo configuração, instalação, ativação, monitoramento de recursos, e análise de logs, consolidando todas as operações administrativas em uma única interface intuitiva. Importante salientar que alguns dados, como por exemplo, recursos de infra-estrutura, são monitorados pelo time de Devops do fabricante, ou seja, não ficam disponíveis na console do produto utilizado pelo cliente ainda, porém caso necessário o fabricante pode fornecer prontamente as informações para o contratante.
A console de gerência oferece uma interface unificada para configurar todos os componentes do SIEM, eliminando a necessidade de múltiplas ferramentas ou interfaces separadas. Isso garante que todos os componentes do HARPIA operem em conformidade com os requisitos organizacionais. Outro ponto de destaque em relação à administração da console é o controle sobre a ativação e desativação de módulos, possibilitando a adaptação rápida da solução às necessidades de monitoramento e segurança.
A capacidade Multi-Tenant é um recurso essencial do Harpia, projetado para atender às necessidades globais dos clientes das empresas MSSPs (Managed Security Service Providers). Essa funcionalidade é uma parte integral do Harpia, tornando-o um SIEM construído especificamente para operações desse tipo.
No Harpia, você pode criar relatórios personalizados e garantir a conformidade com normas e regulamentos. Esses recursos permitem que você acompanhe as ações dos usuários na plataforma, monitore seu uso e gere relatórios abrangentes, incluindo relatórios de incidentes, métricas de EPS (Eventos por Segundo) e muito mais.
Os relatórios disponíveis pelo HARPIA contribuem para uma gestão eficaz da segurança da informação. Com funcionalidades robustas para criação, personalização e automação de relatórios, o HARPIA proporciona visibilidade completa e insights detalhados sobre eventos de segurança, conformidade, e performance do sistema. Através de relatórios personalizáveis, automáticos, e exportáveis, a solução suporta a tomada de decisões informadas e mantém a conformidade com requisitos regulatórios, ao mesmo tempo que melhora a eficácia das operações de segurança. Também é possível gerar relatórios com informações de alertas e incidentes.
A periodicidade dos relatórios emitidos pelo HARPIA pode ser diária, semanal e mensal. Outros tipos de periodicidade devem ser verificados com o fabricante.
Os relatórios são emitidos via console da ferramenta e os modelos e formatos são os pré-definidos pelo fabricante. Atualmente os formatos gerados são PDF ou CSV. O HARPIA permite o envio do link de acesso ao relatório por e-mail.
O HARPIA permite a visualização dos relatórios com permissões em nível de grupo (perfil de acesso), assim é possível habitar a visualização apenas para usuários que realmente precisam ter acesso à informação, através da permissão concedida.
Outros relatórios gerados pelo HARPIA trazem informações sobre eventos e metadados.
Informações que podem compor relatórios para fins de auditoria podem ser entregues sob demanda (formato manual), através de solicitação feita ao fabricante.
O HARPIA disponibiliza a possibilidade dos analistas/especialistas em cibersegurança customizarem os relatórios através da seleção dos itens na console do produto. Esses profissionais também podem utilizar os filtros de logs e eventos para gerar relatórios. Outra possibilidade atendida pela ferramenta é relatório ou painel que demonstra o consumo das licenças em tempo real, bem como seu histórico, volume licenciado e a quantidade excedida.
O Harpia possibilita a correlação de dados de diversas fontes, tornando-o capaz de identificar comportamentos complexos frequentemente encontrados em ataques cibernéticos modernos.
A funcionalidade de gerenciamento de ativos do HARPIA proporciona um controle detalhado e eficiente dos ativos e atributos relacionados à infraestrutura de TI de uma companhia. Ao permitir a definição de atributos abrangentes como nome, descrição, nome no DNS, prioridade, criticidade, localização na rede, sistema operacional, localização geográfica, departamento, contato do responsável, fabricante, número de série, e campos personalizados, o HARPIA facilita a visibilidade, o controle e a gestão de riscos dos ativos. Esta abordagem meticulosa assegura que os ativos sejam monitorados e gerenciados de maneira eficaz, contribuindo para a segurança e a conformidade contínuas da organização.
Através da configuração da pipeline é possível realizar a verificação de atualizações de software e conteúdo disponíveis de forma automática com notificação visual na interface de administração e download, bem como instalação de atualizações de regras e interpretadores.
A implementação da garantia de entrega de dados no HARPIA assegura a confiabilidade e a integridade das informações de segurança transferidas entre coletores e concentradores. Com a utilização de protocolos de transferência confiáveis, mecanismos de retransmissão, bufferização local, e verificação de integridade, o SIEM HARPIA elimina os riscos de perda de dados devido a problemas de rede ou falhas no sistema. Esta abordagem garante que todos os eventos de segurança sejam capturados e analisados de forma precisa, melhorando a eficácia das operações de segurança e a capacidade de resposta a incidentes.
O SIEM HARPIA desempenha um papel crucial na proteção da infraestrutura de TI ao realizar o recebimento e processamento de logs e eventos de forma eficiente e precisa. Essa funcionalidade permite monitorar e analisar atividades em toda a rede, identificando possíveis ameaças e respondendo rapidamente a incidentes de segurança.
Na console do HARPIA temos um dashboard interativo que permite uma visualização eficiente de alertas e incidentes de segurança mais frequentes. Com funcionalidades que permitem monitoramento em tempo real, resumo de principais alertas, gráficos e filtros personalizáveis, o dashboard proporciona uma visão consolidada e centralizada do estado da segurança do ambiente.
A plataforma integra-se com uma variedade de fontes de dados para coletar logs e eventos, utilizando um protocolo seguro e criptografado. Isso inclui dispositivos de segurança, como firewalls, sistemas de detecção de intrusões (IDS/IPS), e roteadores, além de estações servidores (ex: Windows), Sistema (System), Segurança (Security), Aplicação (Application), aplicativos e sistemas operacionais.
O HARPIA também permite a detecção de padrões de sentido de conexões inbound (rede interna para Internet), outbound (Internet para rede interna) e lateral (rede interna para rede interna). Também permite a identificação de nomes de redes definidos pelo administrador.
O HARPIA pode coletar dados através de várias metodologias, incluindo:
Ressaltamos que o HARPIA SIEM consegue processar todas as regras de correlação em eventos coletados em todos os coletores. Isso acontece porque temos um único concentrador em cloud, independentemente do número de coletores.
O HARPIA é compatível com a recepção de logs e eventos oriundos de relays de syslogs. Esta capacidade permite que o SIEM integre dados de segurança de forma eficiente a partir de múltiplas fontes, centralizando a coleta e facilitando a correlação e análise de eventos. Esta funcionalidade simplifica a arquitetura de coleta de logs e melhora a resiliência e a eficiência da infraestrutura de logging.
Não temos implementado de forma nativa na plataforma HARPIA a relação de eventos utilizando o framework MITRE ATT&CK, porém conseguimos customizar esse item na criação das regras, até que o fabricante libere essa feature na console (está em desenvolvimento).
Outra frente de logs atendidas pelo HARPIA é a coleta de logs de segurança de infraestruturas em nuvem pública. Esta funcionalidade é essencial para organizações que operam em ambientes de nuvem, garantindo que os eventos de segurança sejam monitorados e analisados em tempo real, ao mesmo tempo que mantêm a integridade e a confidencialidade dos dados. É possível coletar dados vindos da AWS, Microsoft Azure, e Google Cloud Platform. A integração com esses serviços permite ao SIEM capturar uma ampla gama de dados, incluindo eventos de segurança, tráfego de rede, acessos e autenticação.
Outro tipo de log coletado pelo HARPIA são IDs de Evento (Event ID), que são códigos únicos atribuídos a diferentes tipos de eventos gerados por sistemas operacionais, dispositivos de rede, aplicativos e outros componentes de TI. Eles são provenientes de diversos dispositivos e sistemas na infraestrutura de TI.
Cada Event ID fornece uma descrição detalhada do evento, permitindo que o SIEM reconheça e categorize corretamente a atividade. Esta capacidade permite uma análise detalhada e precisa de eventos críticos de segurança, facilitando a identificação de ameaças e a resposta rápida a incidentes.
O HARPIA SIEM possui uma capacidade abrangente de coleta e interpretação de eventos de diversos dispositivos e aplicações IP que suportam uma ampla gama de protocolos e APIs. Esta funcionalidade assegura que a plataforma possa integrar e monitorar efetivamente fontes de dados heterogêneas, oferecendo uma visão completa das atividades de segurança na infraestrutura de TI.
Sendo assim, o HARPIA é compatível com uma extensa lista de protocolos e APIs, permitindo a coleta de eventos de segurança de dispositivos e aplicações que utilizam:
AWS (Amazon Web Services):
Microsoft Azure:
O Harpia oferece uma coleta abrangente de dados a partir de estações de trabalho com sistemas operacionais Windows, Linux e Mac. Esta capacidade assegura uma visão detalhada e centralizada dos eventos e atividades de segurança em toda a infraestrutura de TI, incluindo informações críticas sobre arquivos, autoruns, processos, drivers, bibliotecas e o sistema em geral.
Após a coleta, o Harpia realiza a normalização dos dados. Este processo converte os logs e eventos recebidos de diferentes fontes para um formato comum, padronizando as informações para facilitar a análise. A normalização inclui a estruturação dos dados e a tradução de termos específicos dos fabricantes para uma taxonomia uniforme.
O Harpia analisa os logs e eventos normalizados para identificar padrões e correlações. Utilizando regras de correlação predefinidas e algoritmos de detecção de anomalias, o SIEM pode correlacionar eventos aparentemente isolados para detectar atividades suspeitas ou comportamentos anômalos. Isso inclui a identificação de:
O HARPIA enriquece os logs e eventos com informações contextuais adicionais, como geolocalização, informações de inteligência de ameaças e dados sobre usuários e dispositivos. Esse enriquecimento ajuda a fornecer um contexto mais completo para cada evento, facilitando a análise e a tomada de decisão.
O enriquecimento ocorre em tempo real e utiliza dados como informações de ativos, nível de risco, inteligência de ameaças, tipo de evento, fonte de eventos, dispositivo, identidade, e outros elementos.
O Harpia está apto a realizar o enriquecimento de eventos e logs relacionados à resolução de endereços de IP (geolocalização), porém ainda não atende a identificação de origem de acesso dos usuários na console.
Os eventos processados são analisados para determinar sua gravidade e impacto potencial. O Harpia utiliza critérios de risco e impacto para priorizar os eventos, destacando os incidentes que exigem atenção imediata. Isso permite que os analistas de segurança concentrem seus esforços nas ameaças mais críticas.
Com base na análise e priorização, o Harpia tem a capacidade de gerar alertas para eventos que requerem ação. Esses alertas podem ser configurados para notificar os administradores por meio de e-mails, SMS, dashboards e outras formas de comunicação (verificar com o fabricante os meios disponíveis até o momento).
O processo de recebimento e processamento de logs e eventos pelo HARPIA visa manter a segurança da rede e a integridade dos sistemas de TI. Com suas capacidades de normalização, correlação e enriquecimento de dados, o Harpia fornece uma solução poderosa para a detecção proativa de ameaças e a resposta eficaz a incidentes de segurança, garantindo uma defesa robusta contra as ameaças cibernéticas em constante evolução.
O HARPIA é projetado para receber e processar logs de diversas fontes, incluindo ferramentas de avaliação de vulnerabilidade. Esta integração permite que os dados sobre vulnerabilidades identificadas sejam analisados em conjunto com outros eventos de segurança, proporcionando uma visão mais completa do risco e da postura de segurança da organização.
A integração de logs de ferramentas de avaliação de vulnerabilidade no SIEM facilita a correlação e análise centralizada de vulnerabilidades com outros dados de segurança, como tentativas de exploração, atividade anômala de rede, e eventos de sistema. Isso melhora a capacidade de detecção e resposta, permitindo uma abordagem mais proativa para a gestão de riscos.
O HARPIA também oferece plena capacidade de coletar e interpretar logs no formato JSON (JavaScript Object Notation), viabilizando a integração de uma gama de sistemas e aplicações que utilizam JSON como formato padrão de log, fornecendo flexibilidade e compatibilidade ampliada no gerenciamento de dados de segurança.
Contamos com suporte para parsing automático, normalização de dados, e correlação com outros eventos, o SIEM fornece uma plataforma robusta para a análise e gestão centralizada de logs JSON. Esta funcionalidade não só facilita a integração com uma ampla gama de fontes de dados, mas também melhora a flexibilidade e a precisão da análise de segurança, fortalecendo a capacidade da organização de detectar e responder a incidentes em tempo real.
Outra frente atendida pelo HARPIA é a coleta e interpretação de logs de soluções de versionamento de código, incluindo GitHub Enterprise e Microsoft Team Foundation Server (TFS). Com isso é possível integrar informações críticas de segurança e conformidade provenientes dos sistemas de controle de versão, proporcionando visibilidade abrangente e análise integrada de eventos relacionados ao desenvolvimento e gerenciamento de código.
O HARPIA também coleta e interpreta logs de soluções de segurança para e-mail, abrangendo ferramentas populares como Fortinet FortiMail, Cisco IronPort Email Security Appliance, Proofpoint Email Security, e Trend Micro ScanMail. Essa funcionalidade permite uma visão integrada e detalhada da segurança do e-mail, facilitando a detecção de ameaças, auditoria e conformidade.
O SIEM HARPIA também coleta e interpreta logs de soluções de firewall de aplicação (WAF), incluindo IBM Guardium, Trustwave DbProtect, Oracle Audit Vault, McAfee Database Security, e Oracle Database Vault. Outra forma de coleta e interpretação de logs no HARPIA está relacionada à soluções de Database Audit and Protection (DAP), incluindo as ferramentas Citrix NetScaler, F5 BIG-IP Application Security Manager e Imperva SecureSphere.
Outro tipo de coleta e interpretação de logs realizadas pelo HAPIA estão ligados à soluções de Data Loss Prevention (DLP), incluindo as ferramentas McAfee Endpoint DLP, McAfee Network DLP (Reconnex), Forcepoint/Websense DLP e Symantec DLP.
O HARPIA inclui um serviço avançado de monitoração de estado para o recebimento e processamento de logs e eventos em tempo real, através de regras de correlação e eventos complexos em dados correlacionados. Este serviço é fundamental para garantir a integridade e a confiabilidade dos dados de segurança, proporcionando visibilidade contínua sobre o fluxo de informações e a eficácia dos processos de análise e armazenamento.
Através do HARPIA é possível gerenciar um conjunto de regras de correlação que poderão ser aplicadas em eventos processados em determinadores concentradores que foram definidos pelos analistas / especialistas de cibersegurança.
1 - Verificação de Fluxo de Dados:
2 - Gestão de Fontes de Dados:
O serviço de monitoramento e processamento de logs e eventos no HARPIA é uma funcionalidade essencial que garante a integridade, a confiabilidade e a eficiência da gestão de dados de segurança. Com capacidades avançadas de monitoração, geração de alertas, e relatórios detalhados, a plataforma oferece uma visibilidade completa sobre o fluxo de informações e a eficácia dos processos, permitindo uma gestão proativa e uma resposta rápida a qualquer problema que possa surgir. Esta abordagem robusta fortalece a segurança cibernética da organização, assegurando que os dados sejam capturados, processados e analisados com precisão e consistência.
Através do Harpia é possível realizar monitoramento continuo e ininterrupto que permitem detectar possíveis tentativas de ataques cibernéticos direcionados à uma organização. Esse monitoramento é realizado através do correlacionamento de logs, e/ou comportamento anômalo de aplicações, serviços e infraestrutura que possam gerar eventos de segurança e que possam ser analisados, e até mesmo transformados em um incidente de segurança.
O Harpia permite incluir diversos alertas em um único incidente via console. Essa funcionalidade contribui para que os analistas/especialistas em cibersegurança possam visualizar informações como: horário do alerta, nome, prioridade e aspectos comportamentais.
A solução conta com o monitoramento de desempenho e saúde dos componentes e serviços via fabricante do produto, gerando notificação quando um ou mais componentes estiver com um consumo
acima do que deveria (health check), ou seja, garantindo performance dos recursos.
O SIEM HARPIA oferece suporte nativo para logs de dispositivos de diferentes fabricantes, proporcionando uma integração harmoniosa e eficiente com uma variedade de fontes de dados de segurança. Essa capacidade permite que as organizações coletem, analisem e correlacionem registros de eventos de uma ampla gama de dispositivos, garantindo uma visão abrangente e detalhada das atividades na rede. O suporte nativo elimina a necessidade de desenvolver integrações personalizadas ou utilizar adaptadores adicionais, proporcionando uma visão unificada das atividades na rede, facilitando a detecção e investigação de ameaças.
O HARPIA foi projetado projetado para suportar logs de dispositivos de vários sistemas operacionais, incluindo Windows, Linux, Unix, FreeBSD, Solaris, AIX e outros (a consultar o fabricante), garantindo que nenhuma fonte de dados seja deixada de fora da análise de segurança.
Além disso, o SIEM oferece suporte nativo para logs de dispositivos de segurança e rede de diversos fabricantes, como Cisco, Palo Alto Networks, Check Point, Fortinet e muitos outros. Isso permite uma integração perfeita com os equipamentos já em uso na infraestrutura de TI de uma organização.
A capacidade de suportar uma ampla variedade de dispositivos e fabricantes oferece flexibilidade para as organizações escolherem os equipamentos de segurança que melhor atendam às suas necessidades, sem comprometer a capacidade de monitoramento e análise de segurança.
No HARPIA, na área de cadastro de regras, o modo TRIAL permite que a engine de detecção gere incidentes para testar determinado caso de uso, porém os mesmos serão direcionados para o SOC.
Através da console é possível que os analistas / especialistas em cibersegurança possam criar e customizar as regras de incidentes.
É possível a utilização de regras para tratamento de eventos de logs, bem como para geração de alertas e identificação de ameaças de forma automática. O SIEM HARPIA só não atende, por enquanto, não possui analisador de pacotes, dessa forma regras para esta finalidade ainda não são suportadas.
O fabricante do HARPIA, SafeLabs, disponibiliza um canal online para que os usuários do produto possam realizar download e atualização de regras de correlação, interpretadores de logs e modelos de relatórios.
O HARPIA permite a criação automática de regras que auxiliam na automação de incidentes com definição de prioridade.
O HARPIA conta com uma análise avançada de eventos, o que permite fornecer uma abordagem poderosa para a detecção e correlação de eventos de segurança em múltiplas fontes, incluindo logs, fluxos de rede e outras fontes de dados. Ao permitir a comparação de metadados e a correlação de eventos, o SIEM HARPIA fornece uma visão abrangente e contextualizada das atividades de segurança, facilitando a identificação de padrões de ameaças complexas e a resposta rápida a incidentes. Esse processo é feito através de querys que podem ser criadas pelos analistas e especialistas de cibersegurança, conforme necessidade de análise da Contratante.
Possui ainda a capacidade de correlacionar eventos multimeios e detectar padrões anômalos, contribuindo para o aprimoramento das operações de segurança e reduzindo o risco de incidentes.
A funcionalidade de notificação no HARPIA tem como objetivo comunicar de forma proativa interrupções no envio de eventos, como forma de garantir a eficácia e a continuidade da monitoração de segurança. Ao detectar falhas e alertar o administrador em tempo real, o HARPIA assegura que os dados críticos de segurança sejam continuamente capturados e analisados, minimizando riscos e mantendo a integridade do monitoramento de segurança. Esta abordagem proativa permite uma gestão eficiente das operações de segurança e uma resposta rápida a quaisquer problemas que possam surgir, fortalecendo a postura de segurança da organização.
A notificação através de alertas no Harpia visa comunicar sobre comportamentos anômalos baseados em múltiplos eventos que ocorrerem em um determinado período.
O HARPIA realiza notificação automática que alerta o administrador caso algum dispositivo monitorado pare de enviar eventos. Este recurso assegura que falhas na coleta de dados sejam rapidamente identificadas e tratadas, mantendo a integridade e a continuidade do monitoramento de segurança. As notificações são baseadas nos seguintes serviços que estão contemplados com a observabilidade:
Vigilância em Tempo Real: O HARPIA monitora continuamente o fluxo de eventos provenientes de todos os dispositivos conectados, verificando a regularidade e a consistência do envio de dados.
Intervalos de Envio: Estabelece intervalos predefinidos para o recebimento de eventos de cada dispositivo, identificando rapidamente qualquer interrupção no fluxo de dados.
Os alertas e notificações podem ser em tempo real, através de notificações automáticas geradas para o administrador, assim que uma interrupção na gestão e envio de eventos é detectada. Essas notificações podem ocorrer por diversos canais a serem configurados de acordo com a disponibilidade do fabricante e necessidade da contratante. Os canais possíveis são via e-mail, SMS ou aplicativos de mensagens instantâneas.
Cada notificação inclui detalhes sobre o dispositivo afetado, o tempo da última comunicação, e a possível causa da interrupção, facilitando a análise e a resolução do problema.
As notificações podem ser priorizadas com base na criticidade do dispositivo e do tipo de evento, ajudando o administrador a focar nas interrupções que mais impactam a segurança. O HARPIA também contempla notificação através de alertas de comportamentos anômalos, que estão baseados em múltiplos eventos que podem ocorrer em um determinado período. Atualmente esses alertas são gerados na plataforma (incidentes), bem como o envio de e-mails no momento do trigger que esteja relacionado caso de uso.
Notificação automática
O HARPIA está equipado com um sistema de notificação que alerta o administrador sempre que a quantidade de eventos de qualquer dispositivo monitorado exceda ou caia abaixo de limiares predefinidos de taxa de eventos. Esta funcionalidade é vital para manter o controle e a eficácia no monitoramento, permitindo uma resposta imediata a anomalias e potenciais incidentes de segurança. O monitoramento ocorre pelo envio e não envio dentro de intervalos de tempo, porém não é feito por limiares de eventos. O alerta ocorre na própria console da ferramenta, também pode ser realizada notificação via e-mail para os responsáveis.
A funcionalidade de notificação para variações na taxa de eventos no SIEM é um componente crucial para a gestão proativa e eficaz de eventos de segurança. Ao detectar e notificar o administrador sobre aumentos ou diminuições anômalas na taxa de eventos, o HARPIA garante que possíveis ameaças ou falhas de monitoramento sejam rapidamente identificadas e tratadas. Esta abordagem aprimora a segurança, otimiza a eficiência operacional e fortalece a capacidade da organização de responder a desafios de segurança cibernética, mantendo uma vigilância constante sobre todos os dispositivos monitorados.
O Harpia atualmente fornece meio de acesso a listas dinâmicas abertas e fechadas que podem ser incorporadas às regras cadastradas utilizando estas bases de conhecimento e inteligência de ameaças. No entanto, esta estrutura não permite listas tipadas ou multicolunas (o fabricante já mapeou esse item como melhoria).
Acesso via APIs para ampliar as funcionalidades e integração com plataformas de terceiros.
A solução SIEM HARPIA oferece uma maneira flexível e eficaz de integrar e automatizar processos com outros sistemas através de sua API REST. Essa API permite que organizações incorporem o SIEM em seus fluxos de trabalho existentes, facilitando a troca de informações e a automação de tarefas para fortalecer ainda mais a segurança cibernética e melhorar a eficiência operacional.
A API REST do SIEM possibilita a integração com uma variedade de sistemas de segurança, como firewalls, antivírus e sistemas de detecção de intrusões (IDS/IPS). Isso permite uma visão unificada das ameaças e uma resposta coordenada a incidentes de segurança em tempo real. Também suporta integração com sistemas de negócios, como sistemas de gerenciamento de incidentes e operações, facilitando a comunicação entre equipes e garantindo que os processos de segurança estejam alinhados com os objetivos do negócio.
Ao facilitar a troca de informações e a automação de processos, a API REST capacita as organizações a responderem de forma rápida e eficaz às ameaças de segurança em constante evolução.
O HARPIA permite integração com fontes externas, com o objetivo de promover o enriquecimento de eventos.
Outra possibilidade contemplada pelo HARPIA é a integração com fontes de inteligência aberta (OSINT - Open Source Intelligence) para detecção, em tempo real, de ameaças relacionadas à endereços IP, endereços de e-mail, URLs, host names e hashes de arquivos. Porém, só será possível através de endpoint, com credenciais para acesso para coletar essas informações.
Através de integrações via API é possível realizar no HARPIA a a integração com sistemas de Governance, Risk and Compliance (GRC), possibilitando a integração de dashboards entre as soluções e provendo contexto de governança a um incidente gerado.
O Harpia também permite integração com outras soluções de segurança, por meio de alertas sobre dados ou comportamentos que foram definidos em regras. Também permite o envio de alertas via protocolos SYSLOG e e-mail para plataformas externas, como servidor de syslog.
O HARPIA oferece uma configuração flexível e abrangente, incluindo a capacidade de sincronização de relógios dos componentes da solução por meio do servidor NTP (Network Time Protocol). A sincronização precisa dos relógios é crucial para garantir a consistência e a precisão das informações registradas nos logs de eventos, independentemente de sua origem, permitindo uma análise precisa e oportuna de atividades suspeitas ou incidentes de segurança. Isso facilita a correlação de eventos e a análise forense, fornecendo uma linha do tempo precisa das atividades observadas na rede.
Ao garantir que os relógios dos componentes do HARPIA estejam sincronizados, a solução facilita uma análise precisa e oportuna de eventos de segurança. Isso permite aos analistas detectar rapidamente atividades suspeitas, identificar possíveis ameaças e responder de forma eficaz a incidentes em tempo real. A sincronização de relógios é um requisito comum em regulamentações de segurança cibernética, garantindo que as organizações cumpram com os padrões de conformidade.
O HARPIA disponibiliza uma interface intuitiva para configurar e gerenciar servidores NTP, permitindo que os administradores sincronizem os relógios de todos os componentes da solução de forma eficiente.
O Controle de Acesso baseado em Funções (RBAC) oferece granularidade na administração de permissões dentro da plataforma.
O Harpia contempla um sistema de controle de acesso baseado em perfis de usuários. Esta funcionalidade assegura que o acesso aos dados e às funcionalidades do SIEM seja restrito de acordo com as responsabilidades e as necessidades específicas de cada usuário, proporcionando uma camada adicional de segurança e promovendo a eficiência operacional.
Gestão de Acessos e Permissões
1 - Autenticação de Usuários:
2 - Controle Granular de Permissões:
Implementar controle de acesso baseado em perfis de usuários oferece várias vantagens que aprimoram a segurança e a eficiência do sistema:
O controle de acesso baseado em perfis de usuários no Harpia é uma funcionalidade crucial para a segurança e a eficiência da gestão de dados de segurança cibernética. Ao definir perfis específicos com permissões ajustadas às necessidades dos usuários, a solução assegura que o acesso seja concedido de forma segura e controlada, promovendo a integridade das informações e a conformidade com as políticas organizacionais. Esta abordagem permite que a organização proteja suas informações sensíveis enquanto otimiza as operações e responde eficazmente aos desafios de segurança cibernética.
Para garantir a proteção e a acessibilidade contínua dos dados de segurança, a solução o Harpia integra um robusto procedimento de backup e restauração. Este procedimento é implementado através do conceito de arquivador, proporcionando um sistema eficiente de armazenamento de longo prazo que assegura a integridade e a disponibilidade dos logs e metadados críticos para a organização. Importante salientar que todos os procedimentos são automaticamente executados por engines da aplicação que implementam o conceito de arquivador.
No Harpia o arquivador funciona como um mecanismo que gerencia o backup e a restauração de dados, focando no armazenamento seguro e na recuperação eficiente das informações. Este conceito é fundamental para a manutenção de um repositório confiável de dados históricos e críticos, acessível para auditorias, investigações e análise de conformidade.
Esta abordagem assegura que os logs e metadados críticos sejam protegidos, armazenados de forma segura e acessíveis para recuperação quando necessário. Com a implementação de um arquivador, o Harpia proporciona uma proteção robusta contra a perda de dados, suporte à conformidade e uma recuperação eficiente em caso de incidentes, fortalecendo a postura de segurança da organização e garantindo a continuidade das operações.
O Harpia possui implementação de lista de permissões (whitelist) e lista de bloqueio (blacklist) para endereços IP, usuários e hosts. Essas listas são utilizadas na geração de alertas para aprimorar a precisão na detecção de incidentes de segurança, permitindo uma gestão eficiente de eventos com base em regras pré-definidas. A capacidade de personalizar alertas com base nessas listas melhora a relevância das notificações.
Através de integração via API e TIP do HARPIA é possível, a partir de eventos coletados, a identificação de IoC (Indicators of Compromise), padrões de tráfego e eventos que indicam comportamento de algo comprometido, assim como eventos e tráfegos que indique ações que aumentem a exposição a ameaças.
A console do HARPIA oferece uma interface de investigação e exploração de metadados intuitiva, permitindo aos analistas/especialistas em cibersegurança acesso rápido aos eventos, dados e metadados coletados para identificar ações suspeitas ou ataques. Com funcionalidades que incluem navegação simplificada, exploração de metadados, visualizações interativas, e correlações automáticas, a interface facilita a investigação eficiente e resposta rápida a incidentes, a partir dos eventos e tráfego de rede analisados.
Ainda na tela de investigação é possível que os analistas/especialistas em cibersegurança possam administrar, configurar, investigar, analisar e responder, de forma centralizada através da coleta dos eventos e logs. A investigação dos metadados pode ser realizada independentemente da sua origem, podendo ser considerada as informações extraídas dos logs.
O HARPIA oferece uma capacidade avançada de navegação contínua sobre os dados, permitindo a exploração em profundidade (drill down) através de uma interface que permite aprofundar-se nos dados sem a necessidade de realizar pesquisas avançadas. Esta funcionalidade melhora significativamente a eficiência da análise e a capacidade de resposta a incidentes. Esta abordagem intuitiva e fluida facilita a identificação rápida de ameaças, proporcionando uma visão clara e detalhada dos eventos de segurança.
Outra facilidade disponível na console do HARPIA é permitir que os analistas/especialistas em cibersegurança possam recuperar o evento original a partir da investigação.
O Harpia disponibiliza um padrão de template para as mensagens de e-mail para os alertas, com textos definidos pelo fabricante, e variáveis que serão substituídas por atributos do alerta. Caso seja necessário algum tipo de alteração ou customização do template da mensagem, será necessário contactar o fabricante para realizar via backend do produto.
O Harpia permite realizar buscas utilizando Regex (expressão regular) através de uma sequência de caracteres que vão apoiar na na definição da pesquisa.
O Harpia conta com métricas de saúde dos recursos como: utilização de CPU, utilização de memória, disco rígido, status do serviço e status das conexões.
O monitoramento das máquinas é realizado via fabricante através do ZABBIX das máquinas do cliente. Caso ocorra algum desvio no consumo do recuros é gerada uma notificação de alerta, e o fabricante enviará relatório para realizar as correções na coleta do cliente. Os analistas/especialistas em cibersegurança podem complementar informações às do fabricante, caso necessário.
Assegura a criptografia e privacidade nas comunicações entre os componentes da solução.
Em resumo, o Harpia é um SIEM avançado e próprio para o monitoramento de eventos de segurança da informação, agregando ao processamento dos eventos o enriquecimento de informações necessárias para melhor proteger organizações.