SIEM e SOAR

SIEM e SOAR são tecnologias fundamentais para operações de SOC modernas, fornecendo visibilidade centralizada e automação de resposta a incidentes.

O que é SIEM?

Security Information and Event Management (SIEM) coleta, agrega e analisa logs de múltiplas fontes para identificar ameaças e violações de compliance.

Componentes Core

  • Log Collection: Agregar logs de toda infraestrutura
  • Normalization: Padronizar formatos diferentes
  • Correlation: Identificar patterns através de eventos
  • Alerting: Notificar sobre eventos críticos
  • Dashboards: Visualização de segurança em tempo real
  • Reporting: Compliance e análise forense

Fontes de Dados SIEM

  • Network: Firewalls, IDS/IPS, routers, switches
  • Endpoints: Workstations, servers, mobile devices
  • Applications: Web servers, databases, business apps
  • Security Tools: EDR, email security, DLP
  • Cloud: AWS CloudTrail, Azure AD logs, GCP logs
  • Identity: AD, LDAP, SSO platforms

Correlation Rules

Regras que identificam patterns suspeitos através de múltiplos eventos.

Exemplos de Rules

  • Múltiplos failed logins seguidos de sucesso
  • Login de localizações geográficas impossíveis
  • Privileg escalation seguido de lateral movement
  • Data exfiltration após hours
  • Unusual process execution patterns

Tipos de Correlation

  • Time-based: Eventos dentro de janela temporal
  • Count-based: Threshold de eventos
  • Pattern-based: Sequência específica de eventos
  • Statistical: Desvio de baseline

Use Cases SIEM

Threat Detection

  • Malware infections
  • Brute force attacks
  • Data exfiltration
  • Insider threats
  • Advanced persistent threats (APTs)

Compliance

  • PCI-DSS: Logging e monitoring de acessos
  • HIPAA: Audit trails de acesso a PHI
  • LGPD/GDPR: Logging de acesso a dados pessoais
  • SOX: Mudanças em sistemas financeiros

Forensics e Investigation

  • Timeline reconstruction
  • Root cause analysis
  • User activity analysis
  • Evidence preservation

Principais SIEM Solutions

Enterprise SIEM

  • Splunk: Líder de mercado, poderoso search
  • IBM QRadar: AI-powered analytics
  • Microsoft Sentinel: Cloud-native SIEM
  • LogRhythm: All-in-one SIEM e SOAR
  • Elastic Security: Open-source baseado

Cloud SIEM

  • Sumo Logic: Cloud-native analytics
  • Exabeam: UEBA integrado
  • Rapid7 InsightIDR: Detecção e resposta

O que é SOAR?

Security Orchestration, Automation, and Response (SOAR) automatiza processos de resposta a incidentes e orquestra ferramentas de segurança.

Capacidades Core

  • Orchestration: Integrar ferramentas diversas
  • Automation: Executar playbooks automaticamente
  • Case Management: Track investigações
  • Collaboration: Workflow entre equipes
  • Threat Intelligence: Enrichment automatizado

Playbooks SOAR

Workflows pré-definidos que automatizam resposta a tipos de incidentes.

Exemplo: Phishing Response Playbook

  1. Receber alerta de phishing email
  2. Extrair IOCs (URLs, IPs, hashes)
  3. Query threat intelligence feeds
  4. Verificar se outros usuários receberam
  5. Bloquear IOCs em email gateway
  6. Quarantine emails similares
  7. Resetar credenciais de usuários que clicaram
  8. Gerar ticket de incident response
  9. Enviar awareness email aos usuários

Exemplo: Malware Detection Playbook

  1. EDR detecta malware
  2. Isolar endpoint da rede
  3. Coletar forensics data
  4. Submit hash para VirusTotal
  5. Query SIEM para outros endpoints afetados
  6. Block hash em EDR policy
  7. Initiate reimaging de endpoint
  8. Update threat intelligence platform

Principais SOAR Platforms

  • Palo Alto Cortex XSOAR: Líder de mercado
  • Splunk Phantom: Integrado com Splunk
  • IBM Resilient: Incident response focus
  • Swimlane: Low-code automation
  • Tines: No-code automation
  • Siemplify (Google): Security orchestration

Integrações Comuns

SOAR integra com centenas de ferramentas via APIs:

  • SIEM: Splunk, QRadar, Sentinel
  • EDR: CrowdStrike, SentinelOne, Carbon Black
  • Firewalls: Palo Alto, Fortinet, Cisco
  • Threat Intel: VirusTotal, MISP, ThreatConnect
  • Ticketing: ServiceNow, Jira
  • Email: Office 365, Gmail, Proofpoint
  • Cloud: AWS, Azure, GCP

Benefícios de SOAR

  • Velocidade: Resposta automatizada em segundos
  • Consistência: Mesma resposta sempre
  • Eficiência: Libera analistas para trabalho complexo
  • Escalabilidade: Handle mais alertas sem mais pessoas
  • Documentação: Audit trail automatizado
  • Redução de MTTR: Mean Time To Respond

SOC Operations

Estrutura de Tiers

  • Tier 1: Triage inicial de alertas
  • Tier 2: Investigação profunda
  • Tier 3: Threat hunting e análise avançada
  • SOC Manager: Coordenação e métricas

Workflow Típico

  1. Alert gerado por SIEM/EDR/etc
  2. Tier 1 valida se é verdadeiro positivo
  3. Se verdadeiro, escalate para Tier 2
  4. Tier 2 investiga profundamente
  5. Se confirmado incidente, ativa IR process
  6. Tier 3 realiza threat hunting baseado em findings

Métricas de SOC

  • MTTD: Mean Time To Detect
  • MTTA: Mean Time To Acknowledge
  • MTTC: Mean Time To Contain
  • MTTR: Mean Time To Resolve
  • Alert Volume: Por dia/semana
  • False Positive Rate: Percentagem
  • Dwell Time: Tempo que atacante fica na rede

UEBA Integration

User and Entity Behavior Analytics (UEBA) usa machine learning para detectar anomalias comportamentais.

Use Cases

  • Insider threat detection
  • Compromised account identification
  • Privilege abuse
  • Lateral movement detection

Desafios

Alert Fatigue

  • Volume excessivo de alertas
  • Alto false positive rate
  • Tuning contínuo necessário

Skill Gap

  • Escassez de analistas qualificados
  • Curva de aprendizado íngreme
  • Retenção de talentos difícil

Cost

  • Licensing baseado em volume de dados
  • Infrastructure costs
  • Staffing 24/7 operations

Melhores Práticas

  • Começar com use cases prioritários
  • Tuning contínuo de correlation rules
  • Automatizar respostas repetitivas com SOAR
  • Integrar threat intelligence
  • Documentar playbooks e procedures
  • Realizar tabletop exercises
  • Medir e otimizar métricas
  • Investir em treinamento de equipe

SIEM e SOAR são pilares de SOC moderno. SIEM fornece visibilidade centralizada e detecção de ameaças, enquanto SOAR automatiza resposta e orquestra ferramentas. Juntos, permitem operações de segurança escaláveis e eficientes. Com volume crescente de alertas, automação via SOAR torna-se não apenas desejável, mas necessária para manter segurança efetiva.