ELK – Uma solução mais eficaz para o gerenciamento de logs

4 de janeiro de 2016

lgClavis (1)

Um dos temas que unem médicos e monges, quando o assunto é o de manter a saúde em dia, é o de que precisamos estar atentos e saber interpretar os sinais apresentados pelo nosso corpo. A percepção é essencial para que possamos separar aquilo que é importante do que não é e, de forma sensata, dedicar o devido tratamento àquilo que requer atenção. A segurança da informação requer um nível de sensatez semelhante quando falamos de detecção de intrusos e gerenciamento de logs.

Nessa matéria, muitas empresas apostam alto em soluções de SIEM (acrônimo de Security Information and Event Management), geralmente caríssimas e que geram logs demais (ou de menos) imaginando que, ao instalar o produto, qualquer problema descoberto no passado ou que ainda está por ser identificado, será automaticamente detectado. Isso seria o mesmo que comprar um aparelho de ressonância magnética imaginando que todas doenças do mundo serão identificadas.

O que vai determinar se sua empresa precisa de algo simples ou grandioso está nos detalhes de como o ambiente opera. Em muitos casos é despejada uma torrente de eventos no SIEM e falta a ele parametrização para contextualizar as informações, por isso é necessário se conhecer; avaliar quais logs são gerados pelas ferramentas que possui e qual é o nível de qualidade deles, além de também considerar a superfície de ataque a que seu ambiente está exposto.

Ao conhecer o ambiente, o gestor consegue parametrizar os equipamentos e sistemas para gerar logs mais assertivos, excluindo tudo aquilo que não representa uma ameaça verdadeira. Com isso basta usar um conjunto de ferramentas confiáveis para gerar alertas e demonstrar indicadores. Dependendo de como o ambiente estiver configurado, não é necessário investir nada no processo. Nesse aspecto o ELK pode ser a melhor alternativa.

Apesar de o ELK ter surgido com outros propósitos, como análise de Big Data, logo a ferramenta despertou o interesse de especialistas interessados em ferramentas poderosas, porém simples, para combater o constante ruído presente nas soluções comuns de gerenciamento de eventos.

O ELK é a junção das ferramentas Elasticsearch, Logstash e Kibana. Com o Logstash é possível filtrar os logs de maneira muito mais eficiente, eliminando aquilo que não interessa e usando sua engine para decodificar os dados (XML, Multilines, netflow, json e outros); modelar como as informações serão salvas e adicionar checagens prévias, como GEOIP, Threshold e agrupamentos. O Elasticsearch indexa e armazena todos os registros, é um banco NoSQL que possibilita tanto o armazenamento quanto a consulta de informações de maneira muito rápida, mesmo lidando com volumes imensos de informação. Já o Kibana traduz estes dados em uma interface gráfica que possibilita a visualização de alertas e estatísticas de maneira agradável, objetiva e intuitiva. Todas as ferramentas são open source.

Conhecendo o seu ambiente é possível elaborar métricas de melhor qualidade e, assim, reduzir a quantidade de falsos positivos e falsos negativos. Já com um pacote de ferramentas como o ELK é possível ter alertas mais efetivos, em tempo real e sem a necessidade de adquirir produtos caros.

Seginfocast

Aproveite a oportunidade e escute agora o podcast sobre este tema no SegInfocast #25, cujo título foi:  “Análise de Logs com ELK”.

Veja também a palestra ministrada pelo Pesquisador da Clavis Rodrigo Montoro no evento H2HC sobre o tema: “Analisando eventos de forma inteligente para Detecção de Intrusos usando ELK (Elasticsearch, Logstash, Kibana)”.