O armazenamento em um Sistema de Gerenciamento de Informações e Eventos de Segurança (SIEM) desempenha um papel crítico ao coletar, armazenar, indexar e oferecer acesso eficiente a eventos e informações de segurança em uma organização.
Este componente vital age como um ponto de convergência para todos os dados brutos, logs, alertas, eventos e informações de tráfego de rede, criando um repositório centralizado de conhecimento de segurança. A capacidade de armazenamento, sua escalabilidade, eficiência e segurança são fatores essenciais para o êxito de um SIEM. Além disso, o armazenamento é fundamental para análises retrospectivas, detecção em tempo real de ameaças e conformidade regulatória.
Para acessar a funcionalidade Storage management (Gestão de armazenamento), basta navegar até o menu lateral localizado no canto superior esquerdo da interface.
No Harpia, a gestão de armazenamento é realizada em três camadas distintas: Hot storage (Armazenamento de alta performance), Warm storage (Armazenamento de média performance) e Cold storage (Armazenamento em backups). Cada cliente possui uma configuração contratual de retenção, previamente definida em número de dias para cada camada, sendo que cada uma exige uma abordagem específica de gestão e controle.
O Hot storage (Armazenamento de alta performance) representa a camada mais rápida, ideal para armazenar dados que demandam acesso imediato, como eventos em tempo real, alertas críticos e informações de curto prazo frequentemente acessadas. Essa camada, caracterizada por sua alta disponibilidade, assegura um acesso rápido e confiável aos dados.
Os dados são retidos em um disco de alta performance por um breve período, geralmente entre 5 e 7 dias. Essa configuração possibilita buscas ágeis na tela de investigação para análise de incidentes, assim como serviços de monitoramento e coleta de métricas do cluster.
O Warm storage (Armazenamento de média performance) é designado para armazenar dados históricos de médio prazo, como logs de dias ou semanas anteriores ao Hot storage, proporcionando a capacidade de realizar análises retrospectivas e investigações de segurança.
Ao atingir o limite de dias no Hot Storage, os dados são transferidos para um disco de média performance, com um período de retenção mais longo, geralmente entre 30 e 90 dias. As buscas nessa camada são similares às do Hot Storage, embora o tempo de resposta seja maior. Uma mensagem informativa alertará o usuário sobre o possível aumento no tempo de resposta.
O armazenamento em backups, também conhecido como Cold Storage, é projetado para dados que não necessitam de acesso regular e imediato. Essa camada é a mais lenta em termos de acesso, sendo ideal para armazenar dados de longo prazo, como semanas ou meses anteriores ao Warm storage. Essa aplicação é especialmente adequada para registros históricos de eventos de segurança que não são acessados com frequência. Embora o acesso a esses dados seja mais demorado em comparação com as camadas de armazenamento de alta e média performance, o Cold Storage garante a preservação segura e econômica de informações críticas por longos períodos, atendendo aos requisitos de retenção de dados de longo prazo e conformidade regulatória.
Quando os dados atingem o limite de dias no Warm Storage, são compactados e armazenados em um repositório, alcançando assim a camada final de armazenamento. O período nesta camada varia entre 90 e 365 dias. Oferecemos aos usuários a capacidade de restaurar até dois backups simultaneamente, os quais permanecerão disponíveis nas camadas anteriores por um período de 24 horas. Caso necessário, esses backups restaurados podem ser arquivados novamente durante esse período (transferidos para o Cold Storage). Ao atingir o limite máximo de dias no Cold Storage, os dados são automaticamente excluídos do repositório de armazenamento, ou seja, são expurgados.
O Harpia oferece duas interfaces para gerenciamento de armazenamento de dados: a tela "Storage", que abrange Hot Storage e Warm Storage, e a tela "Backups", que se destina ao Cold Storage.
Ao acessar a seção "Storage" (Armazenamento) no menu, o sistema direciona os usuários para a tela de listagem de índices referentes a dados armazenados nas camadas de Hot storage e Warm storage.
Na tabela, estão disponíveis informações essenciais, como o índice, camada de armazenamento, tamanho do arquivo/armazenamento e a quantidade de eventos contidos.
Os cartões exibidos na parte superior da tela mostram o total de eventos armazenados em cada camada e o período de retenção associado a elas. Abaixo dos cartões, encontra-se um campo de busca livre e um filtro de camada de armazenamento.
A seção "Backups" dentro da gestão de armazenamento, refere-se aos dados na camada de Cold storage.
Na tabela, estão disponíveis informações essenciais, como o índice, tamanho do arquivo/armazenamento, quantidade de eventos contidos, data/hora em que o backup foi criado, o tempo estimado para a restauração, o local onde os dados se encontram (se estão restaurados ou arquivados). Além disso, na coluna de ações, são exibidas opções relacionadas a cada backup ou restauração, incluindo a visualização de detalhes do backup ou o arquivamento do mesmo (em caso de restauração) e a restauração (em caso de backup).
Os cartões exibidos na parte superior da tela mostram o total de eventos armazenados na camada e o período de retenção associado a ela. Abaixo dos cartões, encontra-se um campo de busca livre e outros filtros disponíveis.
Ressalta-se a capacidade de restaurar até dois backups simultaneamente, os quais permanecerão disponíveis nas camadas anteriores por um período de 24 horas. Caso necessário, esses backups restaurados podem ser arquivados novamente durante esse período. Ao atingir o limite máximo de dias no Cold Storage, os dados são automaticamente excluídos do repositório de armazenamento, ou seja, são expurgados.