O SIEM na nuvem é a resposta a essa mudança. Ele aplica recursos de gerenciamento de informações e eventos de segurança em uma arquitetura nativa da nuvem, proporcionando às organizações a mesma visibilidade centralizada, detecção de ameaças e cobertura de conformidade que esperariam de um SIEM tradicional — sem os custos de infraestrutura, as restrições de hardware ou as limitações de escalabilidade que tornavam as implantações legadas tão caras de se manter.
De acordo com a Mordor Intelligence, o SIEM baseado em nuvem é atualmente o segmento que mais cresce no mercado de SIEM, expandindo-se a uma taxa composta de crescimento anual (CAGR) de 12,84%, à medida que as organizações abandonam as implantações locais, que exigem grandes investimentos de capital. Esse crescimento não se deve ao fato de o SIEM em nuvem estar na moda. Ele ocorre porque resolve problemas reais que o SIEM local nunca conseguiu resolver.
Este guia explica o que é o SIEM na nuvem, como ele se compara ao SIEM local, quais são os recursos e modelos de implantação mais importantes e o que levar em consideração ao avaliar soluções, incluindo como o Kaseya SIEM aborda cada um desses critérios.
O que é o SIEM na nuvem?
O Cloud SIEM é uma solução de gerenciamento de informações e eventos de segurança fornecida por meio de uma infraestrutura em nuvem, em vez de ser implantada no local. Ele coleta e agrega dados de logs e eventos de todo o ambiente de TI de uma organização, incluindo terminais, dispositivos de rede, plataformas em nuvem, aplicativos SaaS e sistemas de identidade, normaliza esses dados em um formato consistente e aplica regras de correlação e análises comportamentais para detectar ameaças e gerar alertas em tempo real.
O termo “nuvem” em SIEM na nuvem refere-se à forma como a solução é fornecida e operada. Em vez de provisionar servidores, gerenciar a capacidade de armazenamento e manter o software em sua própria infraestrutura, o SIEM é executado em uma infraestrutura na nuvem gerenciada pelo fornecedor. Isso transfere a carga operacional de manter um SIEM da sua equipe para o provedor, enquanto sua equipe de segurança mantém acesso a todas as funcionalidades de detecção, investigação e conformidade por meio de uma interface baseada em navegador.
O SIEM na nuvem recebe vários nomes, dependendo de quem o descreve. Os termos “SIEM baseado na nuvem” e “SIEM como serviço” são usados de forma intercambiável com “SIEM na nuvem” na maioria dos contextos. “SIEM nativo da nuvem” é um termo mais específico, referindo-se a soluções desenvolvidas desde o início para operar em ambientes de nuvem, em vez dos SIEMs tradicionais que foram adaptados para a nuvem posteriormente. Essa distinção é importante na hora de avaliar fornecedores, já que uma arquitetura nativa da nuvem normalmente lida com escalabilidade, ambientes multilocatários e integrações baseadas em API de forma mais eficaz do que um SIEM legado envolvido em um acordo de hospedagem na nuvem.
Se você ainda não tem familiaridade com o SIEM, nossa introdução geral ao SIEM oferece uma visão completa do assunto antes de você se aprofundar nas considerações específicas sobre a nuvem apresentadas aqui.
SIEM na nuvem x SIEM local
A comparação entre o SIEM na nuvem e o SIEM local resume-se a uma questão de equilíbrio entre custo, controle, escalabilidade e tempo de retorno. Nenhum dos modelos é universalmente superior, mas, para a maioria das organizações, a balança pendeu significativamente para a nuvem.
| SIEM na nuvem | SIEM local | |
| Infraestrutura | Nuvem gerenciada pelo fornecedor | Hardware e software gerenciados pelo cliente |
| Tempo de implantação | De dias a semanas | Semanas a meses |
| Escalabilidade | Elástico, adapta-se ao volume de dados | Limitado pela capacidade do hardware |
| Custo inicial | Baixo, geralmente por assinatura | Elevados gastos de capital |
| Manutenção contínua | Responsabilidade do fornecedor | Requer uma equipe interna |
| Atualizações e correções | Automático | Manual, frequentemente atrasado |
| Controle de dados | Varia de acordo com o provedor | Controle total no local |
| Conformidade em ambientes regulamentados | Compatível; verifique os termos de residência de dados | Mais adequado para requisitos rigorosos de soberania de dados |
| Visibilidade multicloud | Integrações robustas e nativas com AWS/Azure/GCP | Limitado sem conectores personalizados |
Veja a seguir um resumo dos pontos a serem considerados ao comparar os dois modelos:
Custos
Um SIEM local exige um investimento inicial significativo. O hardware, o armazenamento, as licenças de software e a infraestrutura necessária para operar tudo isso precisam ser provisionados antes que qualquer dado de log seja analisado. À medida que os volumes de dados aumentam — o que ocorre constantemente —, é necessário adicionar mais hardware. Os custos se acumulam, e a carga operacional de gerenciar tudo isso recai sobre sua equipe interna.
O SIEM em nuvem elimina esse gasto de capital. Você paga pelo que usa, geralmente por usuário ou por volume de dados, e o fornecedor arca com os custos de infraestrutura. Para organizações que antes não tinham condições financeiras de adotar um SIEM de nível empresarial, essa é a mudança que tornou a detecção moderna de ameaças financeiramente acessível.
Escalabilidade
Os SIEMs tradicionais instalados no local foram projetados para ambientes com volumes de dados previsíveis e arquiteturas relativamente estáveis. Os ambientes modernos não funcionam assim. Uma organização híbrida pode receber eventos de segurança de dezenas de serviços em nuvem, centenas de aplicativos SaaS e milhares de terminais simultaneamente. Quando algo incomum acontece, os volumes de eventos podem aumentar drasticamente. Um SIEM instalado no local dimensionado para condições normais de operação falha justamente durante os incidentes que deveria detectar.
As plataformas SIEM em nuvem escalam de forma elástica, permitindo que os recursos de armazenamento e computação se expandam automaticamente à medida que o volume de eventos aumenta. O fornecedor gerencia o desempenho do sistema e a escalabilidade da infraestrutura à medida que os ambientes crescem, eliminando a necessidade de planejar a capacidade ou provisionar hardware adicional com antecedência.
Manutenção
A gestão eficaz de um SIEM local exige uma equipe dedicada. É preciso alguém para gerenciar a infraestrutura, aplicar atualizações de software, manter as integrações, ajustar as regras de correlação e monitorar o estado do sistema. Para muitas organizações, esse nível de dedicação de recursos é a verdadeira razão pela qual seu investimento em SIEM não atinge o potencial esperado. A ferramenta existe, mas nunca está totalmente operacional porque ninguém tem tempo para mantê-la funcionando em plena capacidade.
O SIEM em nuvem transfere grande parte dessa carga de manutenção para o fornecedor. As atualizações ocorrem automaticamente. As integrações são mantidas pelo provedor. O monitoramento da infraestrutura não é mais um problema seu. Sua equipe se concentra no que o SIEM está indicando, e não em mantê-lo em funcionamento.
Circunstâncias especiais
O SIEM local mantém vantagens em contextos específicos. Organizações com requisitos rigorosos de soberania de dados, que proíbem que dados de log confidenciais saiam de sua própria infraestrutura, podem não ter outra opção a não ser operar localmente. Ambientes isolados (air-gapped) nos setores de defesa ou de infraestrutura crítica apresentam restrições semelhantes. E as organizações que já realizaram grandes investimentos em infraestrutura SIEM local e contam com equipe capacitada para operá-la adequadamente podem considerar que uma abordagem híbrida, na qual o ambiente local lida com dados regulamentados e a nuvem lida com todo o restante, faz mais sentido do que uma migração completa.
Principais recursos do SIEM na nuvem
As soluções SIEM em nuvem compartilham um conjunto comum de funcionalidades essenciais, mas a qualidade e o nível de detalhamento da implementação variam significativamente entre os fornecedores. Veja a seguir o que um SIEM em nuvem de última geração deve oferecer.
Ingestão e normalização de logs em fontes na nuvem e locais
O SIEM na nuvem deve coletar dados de toda a gama de fontes em um ambiente de TI moderno, incluindo AWS CloudTrail, Azure Monitor, logs de auditoria do Google Cloud, Microsoft 365, aplicativos SaaS, dispositivos de rede locais e agentes de endpoint. Conectores prontos para uso para fontes comuns reduzem significativamente o tempo de integração em comparação com a criação de conectores personalizados.
Detecção de ameaças em tempo real com análise comportamental
A arquitetura nativa da nuvem redefine o significado de “em tempo real”. Como o armazenamento e a capacidade de computação se expandem de forma elástica, o SIEM na nuvem pode executar análises comportamentais e modelos de aprendizado de máquina em todo o volume de dados capturados, sem a perda de desempenho que os sistemas locais sofrem à medida que os volumes de dados aumentam. A correlação baseada em regras identifica padrões de ataque conhecidos. A análise comportamental identifica anomalias que não correspondem a nenhuma regra predefinida, incluindo ataques lentos e de baixo impacto, credenciais comprometidas e ameaças internas, na escala que os ambientes modernos geram.
Investigação assistida por IA
As modernas ferramentas SIEM na nuvem incorporam cada vez mais a IA para ajudar os analistas a processar os alertas com maior rapidez. Consultas em linguagem natural de dados de segurança, resumos de alertas gerados por IA e a reconstrução automatizada da linha do tempo reduzem o tempo entre o alerta e a resolução — permitindo que os analistas identifiquem ativos comprometidos e anomalias sem precisar escrever consultas manuais. Para obter mais informações sobre como a IA está transformando a detecção e a investigação em SIEM, consulte nossa publicação sobre SIEM com IA.
Regras de resposta automatizada
Quando uma ameaça confirmada é identificada, o SIEM deve ser capaz de agir sem esperar pela intervenção manual de um analista. As regras de resposta automatizada podem isolar um dispositivo, bloquear uma conta, sinalizar uma sessão prestes a expirar ou acionar um fluxo de trabalho em ferramentas conectadas. A entrega em nuvem significa que essas regras podem ser executadas simultaneamente em aplicativos em nuvem e terminais em uma única ação, algo que as arquiteturas de SIEM locais com conectores de nuvem separados normalmente não conseguem igualar.
Retenção de registros de longo prazo com capacidade total de pesquisa
Os SIEMs locais costumam exigir um compromisso entre o período de retenção e o desempenho das consultas, à medida que os custos de armazenamento aumentam. Os fornecedores de SIEM na nuvem utilizam armazenamento elástico e gerenciado pelo próprio fornecedor, que se adapta automaticamente ao crescimento dos dados, permitindo que as organizações apliquem políticas de retenção de longo prazo sem precisar provisionar hardware adicional ou aceitar velocidades de pesquisa reduzidas. Um período de retenção pesquisável de 400 dias ou mais atende à maioria das estruturas de conformidade sem exigir uma infraestrutura de arquivamento separada.
Gerenciamento multitenant
Para organizações que gerenciam a segurança em vários ambientes — sejam unidades de negócios, subsidiárias ou ambientes de clientes —, a capacidade de visualizar e gerenciar cada ambiente separadamente, mantendo ao mesmo tempo uma supervisão centralizada, é um requisito operacional significativo. Um SIEM em nuvem projetado para uso multitenant simplifica esse processo. O SIEM local, por sua vez, geralmente lida mal com isso, exigindo instâncias separadas para cada ambiente, sem uma visão unificada entre elas.
Relatórios de conformidade
O armazenamento elástico e a disponibilidade contínua do Cloud SIEM tornam-no particularmente adequado para o monitoramento contínuo e a retenção de logs a longo prazo exigidos pelas estruturas de conformidade. Modelos de relatórios pré-definidos para HIPAA, PCI-DSS, GDPR, SOC 2 e NIST 800-53 reduzem o trabalho manual necessário para atender aos requisitos de auditoria, e a capacidade de gerar relatórios a partir de um arquivo de logs completo e pesquisável, sem lacunas de armazenamento, é algo que as implantações locais frequentemente não conseguem garantir.
Vantagens do SIEM na nuvem
Os argumentos a favor do SIEM na nuvem baseiam-se em um conjunto de vantagens práticas que se acumulam ao longo do ciclo de vida da implantação.
As organizações que migram de um SIEM local para um na nuvem relatam consistentemente um retorno mais rápido do investimento. Enquanto a implantação local pode exigir meses de provisionamento de infraestrutura e trabalho de integração antes que o primeiro alerta seja acionado, o SIEM na nuvem normalmente ingere dados e produz resultados significativos em poucos dias. Os conectores já vêm pré-configurados. A infraestrutura já está em funcionamento. Resta apenas configurar as fontes e ajustar a lógica de detecção.
A redução do custo total de propriedade é a segunda grande vantagem. Não é necessário comprar hardware, nem reservar espaço no data center, nem manter infraestrutura. O preço previsível da assinatura do SIEM na nuvem facilita significativamente o planejamento orçamentário em comparação com os gastos de capital variáveis das implantações locais.
O terceiro aspecto é a continuidade operacional. Os fornecedores de SIEM na nuvem garantem o tempo de atividade, aplicam correções de segurança e gerenciam o estado da infraestrutura como parte do serviço. Um SIEM local que fica fora do ar durante um incidente de segurança porque um servidor precisa de manutenção é um cenário que a arquitetura em nuvem elimina.
A visibilidade em ambientes híbridos e multicloud é uma vantagem cada vez mais difícil de se obter por outros meios. As integrações nativas com a AWS, o Azure e o Google Cloud proporcionam ao SIEM na nuvem acesso direto à telemetria gerada por esses ambientes, sem a latência e a complexidade de encaminhar os logs da nuvem por meio de um agregador local.
Por fim, a transição de despesas de capital para despesas operacionais traz benefícios organizacionais que vão além da área de TI. Os orçamentos de segurança, que antes estavam vinculados a ciclos plurianuais de depreciação de hardware, tornam-se mais flexíveis. Os recursos que antes eram destinados à manutenção da infraestrutura podem agora concentrar-se nas operações de segurança.
Modelos de implantação de SIEM na nuvem
Nem todas as soluções SIEM em nuvem são estruturadas da mesma forma. Existem três modelos de implantação distintos, cada um com diferentes compromissos em termos de custo, controle e responsabilidade do fornecedor.
Hospedado na nuvem (gerenciado em ambiente de locatário único)
O fornecedor de SIEM hospeda a solução na nuvem em uma infraestrutura dedicada a um único cliente. O fornecedor gerencia o hardware e o software. O cliente se beneficia de uma menor responsabilidade pela infraestrutura em comparação com a instalação local, mas mantém um maior isolamento de dados do que em um ambiente compartilhado. Esse modelo geralmente custa mais do que o SaaS totalmente multitenant, mas pode ser necessário para organizações com requisitos de residência de dados que proíbem o uso de infraestrutura compartilhada.
SaaS nativo da nuvem (multilocatário)
O modelo completo de software como serviço. O fornecedor gerencia todo o hardware, software e infraestrutura em uma arquitetura compartilhada entre clientes, na qual os dados de cada cliente são isolados, mas os recursos de back-end são compartilhados. Esse modelo oferece o menor custo, a escalabilidade mais flexível e a implantação mais rápida. Os fornecedores podem atualizar e aprimorar o produto para todos os clientes simultaneamente, sem a necessidade de ciclos de atualização individuais para cada cliente. Esse é o modelo que torna o SIEM em nuvem financeiramente acessível para pequenas e médias empresas.
Híbrido
A infraestrutura local lida com dados que não podem sair do ambiente do cliente devido a requisitos de soberania ou regulatórios, enquanto a infraestrutura em nuvem lida com todo o restante. As análises e a correlação são executadas na nuvem com base no conjunto de dados agregado. Esse modelo é comum em setores altamente regulamentados e em ambientes governamentais, onde alguns dados devem permanecer sob o controle direto do cliente.
Para a maioria dos MSPs, equipes de TI e organizações de médio porte sem restrições rígidas em matéria de soberania de dados, o modelo SaaS nativo da nuvem oferece a melhor combinação de custo, capacidade e simplicidade operacional.
Casos de uso do SIEM na nuvem
O SIEM em nuvem é adequado para uma ampla variedade de cenários de segurança, muitos dos quais são difíceis ou impossíveis de resolver de forma eficaz com implantações locais.
Monitoramento de segurança híbrido e multicloud
Uma organização que executa cargas de trabalho na AWS, no Azure e em um data center local precisa de uma camada de segurança capaz de monitorar os três ambientes simultaneamente. O SIEM na nuvem, com integrações nativas entre os provedores de nuvem, oferece essa visão unificada sem a necessidade de uma camada de agregação separada para cada ambiente.
Segurança de aplicativos SaaS
O Microsoft 365, o Salesforce, o Slack e outros aplicativos SaaS geram eventos relevantes para a segurança — autenticação, acesso a arquivos, alterações de permissão e exportações de dados — que as ferramentas locais muitas vezes não conseguem processar. O SIEM na nuvem com conectores SaaS integra essa telemetria ao mecanismo de correlação, juntamente com dados de rede e de terminais, proporcionando às equipes de segurança visibilidade da camada de aplicativos, que é cada vez mais o local onde os invasores atuam.
Implantação rápida para organizações em crescimento
As organizações em rápida expansão não têm tempo para projetos de implantação de SIEM que levam meses. O SIEM na nuvem pode estar operacional em poucos dias, coletando dados de fontes existentes por meio de conectores pré-configurados, sem a necessidade de aquisição de infraestrutura ou configuração complexa de rede.
Prestação de serviços de segurança como serviço
Para organizações que prestam serviços de segurança a terceiros, incluindo equipes de TI responsáveis por várias unidades de negócios e MSPs que gerenciam ambientes de clientes, o SIEM em nuvem com arquitetura multilocatária torna viável a operação de uma única instância de SIEM que abrange todos os ambientes, com visibilidade e relatórios separados para cada um. A alternativa, um SIEM local separado para cada ambiente, é operacional e financeiramente insustentável em grande escala.
Conformidade em infraestruturas distribuídas e multicloud
Os sistemas SIEM locais enfrentam dificuldades para gerar um registro completo de conformidade quando a infraestrutura está espalhada por vários locais, provedores de nuvem e segmentos de rede, pois os logs precisam ser encaminhados pelo agregador local antes de poderem ser analisados, o que gera latência e possíveis lacunas. O SIEM na nuvem ingere dados diretamente de fontes distribuídas via API, produzindo um registro de logs contínuo e ininterrupto, independentemente da origem dos dados subjacentes. Combinado com um armazenamento elástico que nunca exige um compromisso entre o período de retenção e o custo, isso torna o SIEM na nuvem particularmente adequado para organizações com arquiteturas complexas e multambientes que precisam atender às normas HIPAA, PCI-DSS, GDPR ou SOC 2 em todas elas simultaneamente.
O que procurar em um SIEM na nuvem
Para avaliar soluções SIEM em nuvem, é preciso ir além da lista padrão de recursos. As funcionalidades podem parecer semelhantes entre os diferentes fornecedores. As diferenças que mais importam na prática estão na profundidade da implementação, na qualidade da detecção e na forma como o modelo operacional se adapta à sua equipe.
Amplitude e qualidade dos conectores
Quantas integrações nativas a solução oferece e qual é o nível de profundidade dessas integrações? Um fornecedor com 60 conectores nativos que geram dados limpos e normalizados é mais útil do que um com 200 integrações superficiais que exigem um trabalho extenso de personalização. Pergunte especificamente sobre as plataformas em nuvem, os aplicativos SaaS e as ferramentas de endpoint presentes em seu ambiente atual. Saiba mais sobre a importância das integrações SIEM.
Transparência do modelo de preços
Os modelos de preços do Cloud SIEM variam significativamente. A tarifação baseada na ingestão penaliza as organizações à medida que seus ambientes crescem e os volumes de dados aumentam, o que pode tornar os custos imprevisíveis. A tarifação baseada no número de usuários oferece custos mais previsíveis e não desestimula as organizações a importarem os dados de que precisam. Entenda o modelo de preços antes de se comprometer com um fornecedor.
Qualidade da detecção, não apenas o número de regras
Pergunte como as regras de correlação são mantidas e atualizadas. Um SIEM na nuvem com uma grande biblioteca de regras desatualizadas oferece menos proteção do que um com um conjunto menor, mas mantido ativamente. Pergunte com que rapidez novas regras são adicionadas em resposta a ameaças emergentes e se os feeds de inteligência contra ameaças são incorporados automaticamente.
Retenção de logs e desempenho de pesquisa
Verifique o período de retenção e confirme se os logs históricos permanecem totalmente pesquisáveis. Alguns fornecedores armazenam logs de longo prazo em armazenamento inativo, o que leva horas para ser consultado, tornando a investigação forense impraticável. Um período de retenção pesquisável de 400 dias ou mais é a base para atender à maioria das estruturas de conformidade sem comprometer a capacidade de investigação.
Residência de dados e conformidade
Os fornecedores de SIEM em nuvem armazenam dados de log em sua própria infraestrutura, o que significa que a localização desses dados é importante para a conformidade. O GDPR impõe restrições à transferência de dados pessoais para fora da UE. A HIPAA e o FedRAMP impõem seus próprios requisitos no contexto dos EUA. Verifique se o fornecedor escolhido oferece opções de armazenamento de dados regionais que estejam em conformidade com as regulamentações em questão antes de se comprometer com uma implantação. Essa é uma consideração específica da nuvem que não se aplica ao SIEM local.
gerenciado x SIEM em nuvem autogerenciado Um SIEM em nuvem autogerenciado ainda requer pessoal de análise para investigar alertas, ajustar regras e gerenciar integrações. Um SIEM em nuvem co-gerenciado ou totalmente gerenciado complementa isso com suporte de SOC fornecido pelo fornecedor. Para equipes com equipe de segurança limitada, o modelo gerenciado altera significativamente o que é operacionalmente viável. Para uma análise mais aprofundada do modelo de serviço gerenciado, consulte nosso guia sobre SIEM gerenciado.
Kaseya SIEM: Nativo da nuvem, desenvolvido para equipes enxutas
O SIEM na nuvem não é um produto único. Trata-se de um modelo de prestação de serviços que abrange desde o registro básico de logs hospedado até operações de segurança totalmente gerenciadas e aprimoradas por IA. A solução certa é aquela que se adapta à complexidade do seu ambiente, à capacidade da sua equipe e às obrigações de conformidade que você precisa cumprir.
O Kaseya SIEM é um SIEM nativo da nuvem e co-gerenciado, desenvolvido especificamente para MSPs e equipes de TI que precisam de detecção de nível empresarial sem as exigências de pessoal e infraestrutura que as implantações tradicionais de SIEM exigem. Ele correlaciona dados de ameaças por meio de mais de 60 conectores nativos que abrangem terminais, aplicativos em nuvem, redes, provedores de identidade e e-mail, com retenção de logs pesquisáveis por 400 dias que atende aos requisitos de auditoria sem prazos de expiração.
As regras de resposta automatizada gerenciam ações de contenção simultaneamente na nuvem e nos terminais, bloqueando contas, isolando dispositivos e sinalizando sessões prestes a expirar, sem esperar por intervenção manual. A investigação baseada em IA permite que os analistas consultem dados de segurança em linguagem natural, identifiquem ativos comprometidos e detectem anomalias sem precisar escrever consultas manuais. Além disso, os próprios analistas da Kaseya monitoram, classificam e respondem a ameaças 24 horas por dia, 7 dias por semana, com o apoio da mesma IA que reduz o ruído e acelera a resposta.
Para as equipes que estão avaliando opções de SIEM na nuvem, a questão que vale a pena levantar não é apenas qual solução oferece mais recursos. O que importa é qual solução sua equipe pode realmente operar em plena capacidade desde o primeiro dia e qual fornecedor assume a responsabilidade compartilhada pelos resultados.
