Skip to main content

Security Information and Event Management - SIEM

O SIEM (Security Information and Event Management) é uma solução centralizada que coleta, normaliza, analisa e correlaciona logs e eventos de diferentes sistemas e dispositivos de uma infraestrutura de TI para identificar comportamentos suspeitos, violações de segurança e gerar alertas em tempo real.

Ele une duas funções clássicas:

  • SIM (Security Information Management) – coleta e armazena logs.
  • SEM (Security Event Management) – analisa eventos e gera alertas.

Juntas, essas funções permitem que a equipe de segurança (SOC, Blue Team, IAM, etc.) detecte, investigue e responda a incidentes.

É uma das peças que compõe o arsenal do SOC.

  • Centralização de logs: Junta logs de firewalls, servidores, endpoints, aplicações cloud (AWS, GCP, Entra ID, etc).
  • Detecção de ameaças: Correlaciona eventos aparentemente isolados para descobrir padrões de ataque.
  • Resposta a incidentes: Gera alertas, dispara automações (SOAR), permite investigações detalhadas.
  • Compliance: Ajuda a atender requisitos de normas como LGPD, ISO 27001, PCI-DSS.
  • Análise Forense: Facilita análise pós-incidente com histórico detalhado.
  1. Coleta de Dados: O SIEM ingere dados de diversas fontes:
  • Firewalls, IDS/IPS
  • Sistemas Operacionais
  • Serviços Cloud (AWS CloudTrail, GCP Audit Logs)
  • Active Directory / Entra ID
  • Aplicações de terceiros (como Jira, BetterCloud)

  1. Normalização. Os dados chegam em formatos diferentes. O SIEM normaliza tudo num padrão próprio (JSON, CEF, LEEF etc.).

  2. Correlações e Regras: O SIEM aplica regras ou machine learning para identificar comportamentos estranhos:

  • "Usuário logou da China e do Brasil em 10 min" 🚩
  • "Tentativa de login falhou 50 vezes em 1 minuto" 🚩

  1. Alertas e Dashboards: Alerta o time de segurança ou dispara automações via SOAR (ex: revogar token do usuário no Entra ID automaticamente).

  2. Armazenamento e Retenção: Guarda os logs por meses/anos para fins de auditoria ou investigação.

Alguns exemplo de uso:

  • Identificar um usuário do IAM tentando escalar privilégios na AWS.
  • Detectar exfiltração de dados via um servidor mal configurado.
  • Saber que um dev acessou dados de produção fora do horário.
  • Ver tentativas de brute force no Entra ID ou Google Workspace.

O SIEM é a base para automação com SOAR sendo responsável por disparar os gatilhos que ativam workflows de resposta. SIEM + SOAR é o casamento perfeito."

O SIEM necessita de um tuning para diminuir falsos positivos. É necessário uma configuração fina para evitar sobrecarga. Por isso é bom ter um Blue Team afiado.

Principais Ferramentas

Existem vários SIEMs no mercado, mas sendo bem direto, não existe SIEM open source que bata de frente com os pagos.

NomeLicençaObservação
Splunk SIEM.PagoUm dos mais usados no mercado.
Microsoft SentinelPago (Azure)Integrado nativamente com Azure e Entra ID.
IBM QRadarPagoForte em ambientes corporativos complexos.
Elastic SIEMOpen SourceBaseado no Elastic Stack (Elasticsearch).
GraylogOpen SourceLeve, bom para ambientes médios/pequenos.
Sumo LogicSaaS/PagoFocado em cloud e analytics.

ELK como SIEM?

A pilha ELK sempre foi a solução open source mais popular usada como base para construir um SIEM, antes de deixar de ser 100% open source. Importante destacar: estamos falando de um conjunto de ferramentas que permite criar um SIEM, e não de um SIEM pronto por si só.

A pilha ELK é formada por:

  • Elasticsearch (armazenamento e indexação de dados). Motor de busca e armazenamento, ótimo para dados de séries temporais.
  • Logstash (ingestão e processamento de logs). Agrega, filtra, processa e enriquece praticamente qualquer tipo de dado.
  • Kibana: Interface de visualização poderosa para consultas e dashboards.
  • Beats: Agentes leves para coleta de dados e envio ao Logstash ou diretamente ao Elasticsearch.

Essa stack oferece toda a infraestrutura necessária para centralizar, tratar e visualizar logs — mas não entrega um SIEM pronto. Ainda é preciso muito trabalho manual para criar regras de correlação, detecções de ameaças, alertas e relatórios. Nada vem pronto.

Desde 2021, o Elasticsearch e o Kibana passaram a usar a licença SSPL, o que os afastou do open source puro.

Nesse mesmo ano nasceu o OpenSearch, um fork do Elasticsearch e Kibana mantido pela Amazon, composto por:

  • Banco de dados OpenSearch (substituto do Elasticsearch)
  • OpenSearch Dashboards (substituto do Kibana)

Mas, assim como o ELK, o OpenSearch por si só também não é um SIEM completo, é uma plataforma para construção de um.

E o Elastic SIEM nessa história? É simplesmente um conjunto de:

  • Visualizações
  • Regras pré-prontas
  • Integrações de segurança

Tudo construído sobre a Elastic Stack. Ele não é um produto separado, mas sim uma feature do Elastic Security, que utiliza o Elasticsearch para processar dados de segurança. Na prática, é um ponto de partida para quem deseja transformar o ELK em SIEM, sem precisar começar do zero.

Mesmo assim, ele não é um SIEM pronto para SOC corporativo, como o QRadar ou o Splunk ES.

Você ainda precisa:

  • Criar regras de correlação avançadas;
  • Normalizar dados manualmente;
  • Automatizar respostas com outras ferramentas externas (SOAR, scripts);
  • Montar dashboards e relatórios específicos (ex: PCI, HIPAA).

Ou seja, o Elastic SIEM é a tentativa da Elastic de entregar um caminho inicial no mundo dos SIEMs , mas sem abandonar a filosofia de “faça você mesmo” típica do ELK.

A Elastic Stack virou base de muitas soluções que a galera "forkou" ou empacotou pra criar seus próprios produtos de observabilidade ou segurança. Algumas são:

  • OpenSearch: Amazon criou seu "próprio ELK" com melhorias e manteve Open Source.
    • Adicionou deshboards novos
    • Machine learning básico
    • Security Plugin (controle de acesso, TLS)
    • SQL & Piped Queries
  • Wazuh`: Pegaram (ELK ou OpenSearch) + Beats, adicionaram detecção e correlação de segurança real.
    • Adicionou regras de segurança
    • Analise de log
    • Monitoramento de integridade
    • Detecção de Malware
    • Melhoraram a instalação
    • Se for utilizar uma solução open source creio que essa seja a mais interessante.

Graylog

É, essencialmente, uma plataforma de log management (gestão e análise de logs), assim como o ELK Stack, mas com um foco bem definido:

  • Interface simples
  • Facilidade de ingestão, análise e busca de logs
  • Baixa curva de aprendizado (comparado ao ELK)

Possui o módulo 'Graylog Security', que adiciona algumas funções típicas de SIEM, mas de forma limitada, serve mais para visibilidade e alertas básicos do que para um SOC completo.

  • Dashboards de segurança
  • Regras de detecção
  • Correlation Engine (limitado)
  • Alertas
  • Enriquecimento básico de logs (ex: GeoIP, DNS, WHOIS)

Mas a maioria das coisas são básicas.

Ainda não existe SIEM open source 100% 'pronto para uso' que rivalize com soluções enterprise como Splunk ES, Sentinel ou QRadar.

No caso de SIEM, soluções open source são geralmente escolhida por empresas pequenas e médias, onde se tem talentos, mas não tem tanto dinheiro! Quando a empresa pode ela sabe que talento no mercado recebe propostas novas e prefere facilidades que outros também consigam trabalhar.

Splunk

O Splunk (Enterprise Security) ainda é considerado um dos melhores (se não o melhor) SIEM do mercado, mas com algumas verdades que ninguém te conta:

  • Altamente escalável — suporta terabytes de logs/dia fácil.
  • Search Language (SPL) — poderosa e flexível pra criar qualquer consulta ou detecção.
  • Integrações absurdas — praticamente todo vendor (AWS, GCP, Palo Alto, CrowdStrike, etc) tem app pronto pro Splunk.
  • Detecção comportamental e UEBA — pronto e ajustável.
  • Tem um ótimo SOAR na mesma plataforma
  • Conteúdo de segurança pronto — playbooks, dashboards e correlações prontos para SOC real.
  • Marketplace gigante — apps e plugins de segurança para qualquer cenário.

Mas tem o lado negro:

  • Caríssimo! O custo por GB indexado é absurdo, ainda mais em cloud.
  • Curva de aprendizado alta da Search Language.
  • Infra pesada quando é on-premisse.
  • Splunk cobra por GB de dados ingeridos/dia quando é SaaS.
  • Licenciamento confuso com os preços variando dependendo do uso (ingestão, usuários, features).

O Splunk é overkill (e caro) para médias empresas, exceto em casos muito específicos (como bancos ou empresas com exigências fortes de compliance). Para necessidades básicas de visibilidade de logs e alertas, existem opções bem mais econômicas e viáveis.

O QRadar também é caro, ficando na mesma categoria do Splunk em termos de custo e complexidade.

É aí que o Sentinel se destaca, especialmente se a empresa já utiliza Entra ID e o ecossistema Azure, pois a integração nativa reduz muito o esforço operacional e de custo inicial.

E para quem busca uma solução open source madura e de baixo custo, o Wazuh, seja on-premises ou no Wazuh Cloud, é hoje a opção mais custo/benfício.