Análise da pilha elastic para o gerenciamento de registro de eventos: um estudo de caso no 6º CTA

Abstract

RESUMO O gerenciamento dos eventos (logs) de dispositivos de tecnologia da informação (TI) críticos necessitam de tratamento adequado. Dessa forma, a adoção de um processo claro e definido para a realização dessa importante atividade de segurança da informação requer uma agregação de dois fatores: Conhecimento técnico e solução adequada. A utilização de ferramentas que somente realizam a coleta de registros, mas não possuem recursos propícios ao tratamento dos eventos armazenados, de modo que seja possível a indexação para a otimização de pesquisas e o correlacionamento para a vinculação dos eventos, não proporcionará qualquer resultado efetivo para a garantia da disponibilidade, integridade e confidencialidade dos dados que são armazenados ou que estejam em trânsito na infraestrutura de TI. Quanto a esse aspecto, a pilha Elastic, solução amplamente utilizada para o gerenciamento de logs, agrega três poderosas ferramentas (Elasticsearch, Logstash e Kibana) que, juntas, formam uma única solução capaz de atender plenamente aos anseios de um gerenciamento de eventos eficiente e confiável. Capacidade de geração de gráficos de alto nível, mecanismos de tratamento dos dados de alto desempenho, utilização de expressões regulares nas buscas, emprego de criptografia para a transmissão dos registros, armazenamento indexado dos eventos e baixo consumo de recursos de máquina são algumas das características dessa versátil solução que foram identificadas, durante a aplicação de um estudo de caso no 6º CTA, e descritas nesse trabalho. A fim de atestar a sua eficiência no tratamento de logs e visando à validação da proposta, a pilha Elastic fora implementada em um ambiente de produção crítico (servidores de páginas de Internet), do qual foram coletados registros para a realização de testes que pudessem corroborar a viabilidade de adoção dessa solução para o gerenciamento dos registros, gerados por todos os dispositivos e serviços que necessitam de monitoramento. Visando subsidiar o trabalho, foi aplicado um questionário amplo em todas as Organizações Militares de TI que compõem o Sistema de Telemática do Exército (SisTEx) com a finalidade de identificar a solução adotada pelas OM para o gerenciamento de eventos. Nesse sentido, o objetivo desse trabalho consiste em identificar, por meio da aplicação de um estudo de caso, a viabilidade de adoção da pilha Elastic como solução para o gerenciamento de registro de eventos por todos aqueles Centros de Telemática que não possuem um mecanismo efetivo para o desenvolvimento dessa tarefa. A análise das respostas da pesquisa, que buscou identificar as soluções, utilizadas pelas demais OM de TI do SisTEx, e seus aspectos funcionais, e dos resultados, coletados durante o estudo de caso, permite concluir que se trata de uma ferramenta de alto nível para o gerenciamento de registro de eventos, uma vez que, a partir dos logs coletados e tratados, será exequível a obtenção de informações gerenciais e operacionais que indicarão a ocorrência de possíveis problemas de segurança da informação ou nos serviços e recursos computacionais da infraestrutura de TI.

ABSTRACT The event (log) management of critical information technology (IT) devices require appropriate handling. Thus, the adoption of a clear and accurate process to carry out this important information security activity requires an aggregation of two factors: Technical knowledge and appropriate solution. The use of tools that only perform the collection records, but do not have adequate resources to the processing of stored events, so it is possible indexing for search optimization and correlating to the linked events, will not provide any effective result for ensuring the availability, integrity and confidentiality of data that is stored or in transit across the IT infrastructure. In this respect, the Elastic stack adds three powerful tools (ElasticSearch, Logstash and Kibana) which together form a single solution able to fully meet the aspirations of an security information and event management efficient and reliable. High level graphics generation capacity, high performance data handling mechanisms, using regular expressions in searches, encryption adoption for the transmission of records, indexed storage of events and low consumption of machine resources are some of the characteristics of this versatile solution that have been identified during the implementation of a case study on the 6th CTA. In order to attest to its effectiveness in the logs handling and aimed at validation of the proposal, the Elastic stack was implemented in a critical production environment (web pages servers), witch were collected records for testing that could corroborate the feasibility of adoption of this solution for record management generated by all deices and services that require monitoring. In order to support the work, it applied the comprehensive questionnaire in all military IT organization that make up the Sistema de Telemática do Exército (SisTEx) in order to identify the solution adopted by each OM for event management. In this sense, the objective this work is to identify , through the application of a case study, the adoption of viability of Elastic stack as a solution for event log management for all those Telematic Centers that not have an effective mechanism for the development of this task. The analysis of the survey responses, witch sought to identify the solutions used by other IT OM of the SisTEx, and its functional aspects, and the results collected during the case study shows that it is a high-level tool for the event log management, since, from collected and treated logs, it will be feasible to obtain managerial and operational information that indicate the occurrence of possible information security problems or in services and computing resources of the IT infrastructure.