Qual a diferenca entre SIEM e SOAR?

SIEM (Security Information and Event Management) coleta, armazena e correlaciona logs para detectar ameacas. SOAR (Security Orchestration, Automation and Response) automatiza a resposta a incidentes com playbooks e integracao de ferramentas. SIEM detecta, SOAR responde. Muitas solucoes modernas combinam ambos.

Quanto custa implementar um SIEM?

Custos variam drasticamente. SIEMs comerciais (Splunk, QRadar) custam US$ 50.000-500.000+/ano dependendo do volume de dados. Cloud-native (Sentinel, Chronicle) usam modelo pay-per-GB ingerido. Open source (Elastic, Wazuh) tem custo de infraestrutura e equipe. Para PMEs, solucoes managed SIEM custam US$ 3.000-10.000/mes.

Quais logs devo coletar primeiro?

Priorize: 1) Active Directory e autenticacao (falhas de login, alteracoes de privilegios); 2) Firewall e proxy (conexoes externas); 3) Endpoints (EDR/antivirus); 4) Servidores criticos (Windows Security, Linux auth); 5) Aplicacoes de negocio. Comece com o essencial e expanda gradualmente.

SIEM: Guia de Implementacao e Casos de Uso

O que e SIEM

SIEM (Security Information and Event Management) e a tecnologia central de um Security Operations Center (SOC). Ele coleta, normaliza, armazena e correlaciona logs de seguranca de toda a infraestrutura, permitindo detectar ameacas, investigar incidentes e atender requisitos de compliance.

277 dias

tempo medio para identificar e conter breach sem SIEM vs 197 dias com SIEM (IBM Cost of a Data Breach 2025)

O termo SIEM combina duas funcoes historicamente separadas: SIM (Security Information Management) - armazenamento e analise de logs - e SEM (Security Event Management) - correlacao e alertas em tempo real. Solucoes modernas adicionam UEBA (User and Entity Behavior Analytics), SOAR (automacao) e integracao com threat intelligence.

Funcoes principais do SIEM

Coleta de logs: Agregacao centralizada de eventos de toda infraestrutura
Normalizacao: Padronizacao de formatos diferentes para analise unificada
Correlacao: Identificacao de padroes que indicam ameacas
Alertas: Notificacao de eventos que requerem atencao
Investigacao: Busca e analise forense de eventos historicos
Relatorios: Dashboards e reports para compliance e gestao
Retencao: Armazenamento de logs para requisitos regulatorios

Arquitetura de SIEM

Uma implementacao SIEM tipica envolve multiplos componentes trabalhando em conjunto:

Componentes da Arquitetura

Coletores/Forwarders: Agentes que coletam logs nas fontes e enviam ao SIEM
Agregadores: Servidores intermediarios que concentram logs antes do processamento
Parser/Normalizer: Converte logs de diferentes formatos para schema padrao
Correlation Engine: Aplica regras para detectar padroes de ameaca
Storage: Armazenamento de logs (hot/warm/cold tiers)
Search/Analytics: Motor de busca para investigacao e hunting
Console: Interface para analistas, dashboards e alertas

Consideracoes de dimensionamento

EPS (Events Per Second): Volume de eventos processados - determina capacidade necessaria
Retencao: Quanto tempo manter logs (30 dias hot, 1 ano warm, 7 anos cold para compliance)
Alta disponibilidade: Redundancia para garantir operacao continua
Escalabilidade: Capacidade de crescer conforme ambiente expande

Fontes de Log Essenciais

Nem todos os logs tem o mesmo valor. Priorize fontes com maior impacto na deteccao de ameacas:

Prioridade Alta (implementar primeiro)

Active Directory: Event IDs 4624/4625 (logon), 4728/4732 (grupos), 4662 (DCSync), 4769 (Kerberoasting)
Firewall/Proxy: Conexoes bloqueadas, trafego para IPs maliciosos, downloads suspeitos
EDR/Antivirus: Deteccoes de malware, comportamentos suspeitos, bloqueios
VPN/Acesso remoto: Logins de locais anomalos, falhas de autenticacao
Email gateway: Phishing bloqueado, anexos maliciosos, SPF/DKIM failures

Prioridade Media

Servidores Windows: Security Event Log, PowerShell logging, Sysmon
Servidores Linux: auth.log, syslog, auditd
Banco de dados: Acessos privilegiados, queries anomalas, falhas de auth
Aplicacoes web: WAF, access logs, erros de aplicacao
Cloud: CloudTrail (AWS), Activity Log (Azure), Audit Log (GCP)

Prioridade Expansao

DNS: Queries para dominios maliciosos, DNS tunneling
DHCP: Correlacao de IPs com hostnames
Switches/Roteadores: Netflow, mudancas de configuracao
IoT/OT: Dispositivos industriais, cameras, impressoras

Cuidado com volume

Logs de debug, netflow detalhado e endpoints sem filtragem podem gerar EPS massivo e custos proibitivos. Filtre na origem, colete o que tem valor para seguranca. Qualidade > quantidade.

Casos de Uso e Regras de Correlacao

Casos de uso sao regras que detectam comportamentos suspeitos correlacionando eventos. Comece com deteccoes de alto impacto e baixo falso positivo:

Deteccao de Credenciais Comprometidas

Multiplas falhas de login seguidas de sucesso (password spray/brute force)
Login de um usuario de multiplas localizacoes geograficas em curto periodo
Login em horarios anomalos para o usuario
Primeiro login de um dispositivo desconhecido
Uso de credenciais em sistemas nunca acessados antes

Deteccao de Movimentacao Lateral

Pass-the-Hash: NTLM auth sem logon interativo previo
Kerberoasting: Volume anomalo de TGS requests (Event ID 4769)
Admin logando em workstation (violacao de tiering)
RDP para multiplos hosts em sequencia
PsExec/WMI execution remota anomala

Deteccao de Malware e Execucao Maliciosa

Processo filho anomalo (Word spawning PowerShell)
Execucao de scripts de diretorios temp/downloads
Conexao para C2 conhecidos (threat intelligence)
Criptografia massiva de arquivos (ransomware)
Desabilitacao de antivirus/EDR

Deteccao de Exfiltracao

Upload massivo para cloud storage (Dropbox, GDrive, etc.)
Transferencia de dados fora do horario comercial
Acesso anomalo a file shares sensiveis
DNS tunneling (queries longas, alto volume)
Email com anexos grandes para destinatarios externos

Principais Solucoes de SIEM

Splunk

Lider de mercado, poderoso mas caro. Excelente para grandes empresas com budget.

Enterprise

Microsoft Sentinel

Cloud-native SIEM no Azure. Otimo para ambientes Microsoft, pay-per-GB.

Cloud

IBM QRadar

SIEM tradicional robusto, forte em compliance e regulamentados.

Enterprise

Google Chronicle

SIEM cloud com preco fixo, escala massiva, integracao com Mandiant TI.

Cloud

Elastic Security

Baseado no Elasticsearch, versao gratuita e paga. Flexivel e escalavel.

Open Source

Wazuh

SIEM open source com EDR integrado. Excelente custo-beneficio para PMEs.

Open Source

Implementacao Passo a Passo

Fase 1: Planejamento (2-4 semanas)

Definir objetivos: deteccao, compliance, ou ambos?
Mapear fontes de log prioritarias
Estimar EPS e necessidades de armazenamento
Avaliar e selecionar solucao
Definir equipe e responsabilidades

Fase 2: Infraestrutura (2-4 semanas)

Provisionar servidores/cloud resources
Instalar e configurar SIEM
Configurar alta disponibilidade
Definir politicas de retencao
Configurar backup

Fase 3: Integracao de Fontes (4-8 semanas)

Integrar fontes de alta prioridade primeiro
Validar parsing e normalizacao
Ajustar coletores para otimizar EPS
Documentar cada integracao
Expandir gradualmente para outras fontes

Fase 4: Casos de Uso (4-8 semanas)

Implementar regras de deteccao prioritarias
Tunar para reduzir falsos positivos
Criar dashboards operacionais
Configurar alertas e notificacoes
Integrar com processo de resposta a incidentes

Fase 5: Operacao (continuo)

Monitoramento 24x7 ou horario definido
Triagem e investigacao de alertas
Refinamento continuo de regras
Adicao de novos casos de uso
Metricas e reporting

Metricas de Sucesso do SIEM

MTTD (Mean Time to Detect): Tempo para detectar ameaca - meta: minutos, nao dias
MTTR (Mean Time to Respond): Tempo para conter - integra com IR
Alert Volume: Quantidade de alertas por dia - muitos = tune necessario
True Positive Rate: % de alertas que sao ameacas reais - meta: >50%
Coverage: % de ativos enviando logs ao SIEM
EPS: Eventos por segundo ingeridos
Uptime: Disponibilidade do SIEM - meta: 99.9%

Perguntas Frequentes

SIEM substitui EDR ou NDR?

Nao, sao complementares. EDR detecta ameacas em endpoints com visibilidade profunda. NDR detecta ameacas na rede. SIEM correlaciona eventos de ambos (e outras fontes) para visao holistica. A combinacao e mais poderosa que qualquer um isoladamente.

Devo usar SIEM on-premises ou cloud?

Cloud SIEMs (Sentinel, Chronicle) oferecem escalabilidade elastica, menor overhead operacional e modelo de custo variavel. On-premises (Splunk, QRadar) oferecem mais controle e podem ser mais economicos em volumes muito altos. Tendencia e cloud, especialmente para quem ja usa cloud providers.

Como reduzir custos de SIEM?

Filtre logs na origem - nao envie tudo. Use tiering de storage (hot/warm/cold). Evite logs de debug. Considere pre-processamento com log forwarders. Avalie SIEMs com preco fixo (Chronicle) ou open source (Elastic, Wazuh). Monitore e otimize EPS continuamente.

Conclusao

SIEM e o coracao de qualquer operacao de seguranca madura. Sem ele, detectar ameacas depende de sorte e alertas isolados de ferramentas individuais. Com ele, voce ganha visibilidade centralizada, capacidade de correlacao e base para threat hunting proativo.

A implementacao bem-sucedida requer planejamento cuidadoso: comece com fontes de alto valor, implemente casos de uso prioritarios, e expanda gradualmente. Mais importante que a ferramenta escolhida e a qualidade dos logs coletados e a maturidade dos casos de uso. Um SIEM mal implementado e apenas um repositorio caro de logs.

Invista tempo em tuning continuo, medicao de metricas e evolucao do programa. SIEM nao e projeto - e capacidade operacional que precisa de atencao constante para entregar valor.

Precisa de Ajuda com SIEM?

Oferecemos consultoria de implementacao, integracao de fontes e desenvolvimento de casos de uso personalizados.

Falar com Especialista

Inteligencia Brasil

Consultoria especializada em Security Operations, SIEM e Deteccao de Ameacas.