¶ Fonte de dados (Datasources)
Fontes de dados (Data sources) desempenham um papel vital em um Sistema de Gerenciamento de Informações e Eventos de Segurança (SIEM). Elas representam as origens de informações e eventos que são coletados, processados e analisados pelo SIEM para detectar ameaças e anomalias de segurança.
Essas fontes podem ser diversas, incluindo servidores, dispositivos de rede, aplicativos, sistemas de segurança e logs de atividades de usuários. Cada uma fornece um fluxo contínuo de dados essencial para entender a postura de segurança de uma organização.
A capacidade de identificar, coletar e correlacionar dados de várias fontes é crucial para detectar comportamentos complexos, comuns em ataques cibernéticos modernos e atividades maliciosas em tempo real.
No Harpia, a gestão das fontes de dados ocorre em três cenários distintos:
- Fontes de dados registradas e configuradas
- Fontes de dados não registradas, mas identificáveis
- Fontes de dados não registradas e não identificáveis.
Cada um desses cenários exige uma abordagem específica de gestão e controle. Para acessar a funcionalidade de gestão de fontes de dados, navegue até o menu lateral localizado no canto superior esquerdo da interface.
¶ Fontes de dados registradas
No menu, ao acessar a seção "Registered data sources" (Fontes de dados registradas), o sistema direciona os usuários para a tela de listagem, onde todas as fontes de dados cadastradas são apresentadas, conforme ilustra a imagem abaixo:
Na tabela, estão disponíveis as informações-chave, como nome, tipo, nome, device ID (ID do dispositivo), query identifier (query que identifica um datasource centralizado), nome do nó de ingestão (HIN) e status de conformidade com o comportamento ideal. Além disso, na coluna de ações, são exibidas opções relacionadas a cada fonte de dados, incluindo a possibilidade de visualizar detalhes, editar, monitorar, investigar ou ainda acessar os detalhes do nó de ingestão ao qual a fonte de dados está vinculada. A opção de exclusão do data source apenas é apresentada na tela de edição.
Acima da tabela, encontra-se um campo de pesquisa e outros filtros disponíveis.
O registro de uma nova fonte de dados é realizado ao clicar no botão “New data source” (Nova fonte de dados), localizado no canto superior direito. Ao clicar na opção a seguinte tela será mostrada.
A tela de gerenciamento de fonte de dados no Harpia se dá em 3 fases distintas e sequenciais.
- Identificação e controle da fonte de dados.
- Configuração de coleta da fonte de dados.
- Configuração específica de recursos e filebeat.
¶ Identificação e controle da fonte de dados.
¶ Tipos de fontes de dados
No Harpia, as fontes de dados são classificadas em dois tipos principais: Distributed data sources (Fontes de dados distribuídas) e Centralized data sources (Fontes de dados centralizadas). Entender esta classificação é essencial para o domínio de como os dados são coletados e organizados no sistema.
-
Distributed data sources (Fontes de dados distribuídas): refere-se a fontes de dados em que cada data source é cadastrado e identificado pelo device ID (ID do dispositivo). Em outras palavras, cada data source representa uma entidade única e não concentra logs de outras fontes. Ex: logs de um aplicativo ou dispositivo, firewall de aplicação ou EDR que geram dados de forma única.
-
Centralized data sources (Fontes de dados centralizadas): refere-se a fontes de dados em que vários data sources compartilham o mesmo ID do dispositivo, mas que necessitam de identificação independente. Ex: um firewall que concentra logs de outros firewalls, diversos servidores Active Directory enviando logs através de um concentrador WEC. No Harpia essas fontes de dados são diferenciadas por meio de uma query adicional de identificação (identification query). Que possibilita que além do controle através do device ID seja adicionada uma query que promova a distinção da fonte do dado por um campo único e fixo definido pelo usuário.
Exemplo de uma query de identificação:
device.ip:10.1.17.3
Para o Harpia, a query acima complementa a identificação da fonte de dados permitindo que a mesma seja gerenciada e monitorada de forma independente, mesmo sendo coletada sob o mesmo device ID de um concentrador.
Esta abordagem facilita o processo de correlação de eventos e a compreensão do contexto em investigações de incidentes e análises de segurança, especialmente quando é importante compreender o relacionamento entre várias fontes de dados associadas a uma mesma entidade ou dispositivo.
Ao selecionar o tipo da fonte de dados no momento do registro, será mostrado o campo identification query apenas quando selecionada a opção fonte de dados centralizada (Centralized Log Source).
¶ Nome da fonte de dados
Deve ser informado um nome para a fonte de dados. Sugerimos um nome conciso e objetivo.
¶ Device Manufacturer
O Campo device manufacturer contém a lista de fabricantes/produtos homologados no Harpia.
¶ Classes
A classe de fontes de dados representa uma categoria mais específica e detalhada de informações dentro de uma categoria mais ampla. Ela refina ainda mais o tipo de dados coletados, fornecendo detalhes sobre o contexto ou a origem dos dados. As classes ajudam a identificar a fonte ou a natureza específica dos dados. Exemplos de classes incluem Web Logs, WAF (Web Application Firewall) e UNIX.
¶ Comportamento ideal
Durante o cadastro do data source, configuramos um parâmetro chamado Time without activity. O termo ideal behavior (comportamento ideal) refere-se à avaliação constante do sistema para determinar se o Harpia está coletando logs dentro do intervalo de tempo especificado. Se não ocorrer coleta de logs nesse período, isso indica que o data source não está atendendo ao comportamento ideal de acordo com as configurações definidas e requer atenção ou tratamento para garantir seu funcionamento adequado.
¶ Monitoramento
A tela de monitoramento tem como objetivo principal acompanhar o desempenho e a conformidade do data source. Nela, são apresentadas informações detalhadas sobre o registro da fonte de dados, um gráfico que mostra eventos por minuto ou por hora correspondentes ao último intervalo (levando em consideração o Time without activity), e uma lista que indica o horário do intervalo registrado, a quantidade de logs coletados durante esse período e o status de conformidade com o comportamento ideal. Essa tela fornece uma visão abrangente das operações do data source, permitindo a detecção rápida de quaisquer desvios do comportamento esperado.
¶ Fontes de dados descobertas
Ao acessar a seção "Discovery data sources" (Fontes de dados descobertas) no menu, o sistema direciona os usuários para a tela de listagem, onde todas as fontes de dados inseridas na HIM que ainda não foram registradas no Harpia são apresentadas.
Essas fontes de dados descobertas também possuem identificadores nos mesmos critérios das fontes de dados registradas, simplificando assim o processo de registro no Harpia.
Na tabela, estão disponíveis as informações-chave, como timestamp (momento em que a fonte foi identificada pelo Harpia), device ID (ID do dispositivo), identifier meta key (chave meta que compõe o campo identificador), identifier value (valor que compõe o campo identificador) e hits (quantidade de logs brutos recebidos). A opção de registro está disponível na coluna de ações, sob a opção "Register data source" (Registrar fonte de dados).
É importante destacar que o registro de todas as fontes de dados não cadastradas é fundamental para que o Harpia realize o tratamento adequado, apresentando e considerando os dados coletados.
¶ Fontes de dados inválidas
As fontes de dados inseridas na HIN que não possuem o identificador device ID (ID do dispositivo) são classificadas como inválidas. Portanto, o Harpia não pode processá-las, exibindo na lista apenas os raw logs (registros brutos) e a data de coleta correspondente.
Acima da tabela, encontra-se disponível um campo de pesquisa e um filtro de intervalo de tempo.
O acesso a esta lista é concedido através da seção "Invalid data sources" (Fontes de dados inválidas) no menu.
É essencial investigar a origem dessas fontes, tanto por questões de segurança quanto para controlar o processo de ingestão de dados de forma eficaz.