Security intelligence (SI) é a informação relevante para proteger uma organização de ameaças externas e internas, bem como os processos, políticas e ferramentas concebidas para recolher e analisar essa informação.
Intelligence, neste contexto, é a informação accionável que fornece a uma organização suporte à decisão e possivelmente uma vantagem estratégica. SI é uma abordagem abrangente que integra múltiplos processos e práticas projetadas para proteger a organização.
>b>Elementos de inteligência de segurança incluem:
Gestão de logs: Os processos e políticas coletivas utilizadas para administrar e facilitar a geração, transmissão, análise, armazenamento e disposição final dos grandes volumes de dados de log criados dentro de um sistema de informação.
Informação de segurança e gestão de eventos (SIEM): Uma abordagem à gestão da segurança que procura fornecer uma visão holística da segurança da tecnologia da informação (TI) de uma organização. A maior parte dos sistemas SIEM implanta múltiplas coleções agentes para reunir eventos relacionados à segurança de usuários finais dispositivos, servidores, equipamentos de rede e equipamentos de segurança especializados como firewalls, antivírus ou sistemas de prevenção de intrusão. Os coletores encaminham os eventos para um console de gerenciamento centralizado, que realiza inspeções e sinaliza anomalias.
Detecção de anomalias de comportamento na rede (NBAD): O monitoramento contínuo do a rede para eventos ou tendências incomuns. Um programa NBAD rastreia características críticas da rede em tempo real e gera um alarme se for detectado um evento ou tendência estranha que possa indicar a presença de uma ameaça. NBAD é parte integrante da análise do comportamento da rede (NBA).
Gestão de risco: O processo de identificação, avaliação e controle de ameaças ao capital e ganhos de uma organização. Tais ameaças incluem incerteza financeira, responsabilidades legais, erros de gestão estratégica, acidentes, desastres naturais e ameaças à segurança da tecnologia da informação (TI).
Relatórios forenses de rede: A captura, registro e análise de eventos de rede com o propósito de descobrir a origem de ataques de segurança ou outros incidentes problemáticos. Os sistemas "Catch-it-as-you-can" capturam tudo pacotes passando por um determinado ponto de tráfego, armazenam os dados e realizam análises subsequentemente em modo batch. sistemas "Stop, look and listen" realizam uma análise rudimentar na memória e guardam apenas certos dados para análises futuras.