domingo, 7 de março de 2010

Tipificação *BÁSICA* de Correlação de Eventos

Demorei a postar novamente mas o fato é que ando trabalhando muito, muito mas muito mesmo… Ta f@$#@... Hehehe, graças a este trabalho, a empresa que trabalho esta crescendo absurdamente na região (América Latina e Caribe), não vou mais precisar viajar tanto a América Central e ao Caribe pois vamos contratar um pessoal para cuidar das regiões superiores, ruim né? Não é nada ruim, viajar a trabalho que é ruim, principalmente quando se tem alguem em casa que te espera e por mais louco que seja o destino (ex de alguns que já estive: Jamaica, Ilhas Caimans, Rep Dominicana, Aruba, Costa Rica, Panamá, etc...), você nunca consegue de fato aproveitar.


Ainda nem comecei o post relacionado a casos de uso do post anterior, mas por enquanto, só para constar, vou adicionar alguns tipos IMPORTANTES de correlação que um engine de correlação básico deve possuir, sim, básico pois faz parte de qualquer SIEM possuir os seguintes fatores de correlação abaixo (ou deveriam ter pelo menos 90% disto):



- Correlação Simples

- Correlação Contextual

- Correlação por Consciência de Conteúdo

- Correlação de Múltiplos Estágios

- Correlação para identificação de ataques do tipo “Low and Slow”

- Correlação Geográfica e/ou Localização Física

- Correlação Identidades e/ou Comportamento Humano

- Correlação por Papeis / Perfis

- Correlação derivada de Processamento Complexo de Eventos orientados a detecção

- Correlação Neural (por redes não supervisionadas)

- Correlação derivada de Consciência Situacional

- Correlação por Entropia da Informação

- Correlação Histórica

- Correlação Orientada a Dedução

- Correlação de Imagens (OCX / outros)

- Correlação Cognitiva


Uma vez descritas, de agora para frente vou escrever em meu blog quando possível, exatamente como cada uma destas funcionam e como podem nos ajudar, afinal de contas, este mundo de correlacionamento é muito vasto, o limite é a criatividade!

Aguardem próximos posts, prometo não demorar tanto e com este formato, não escreverei tanto como nos posts anteriores, melhor ne?

Um fato curioso, não existe quase nada em termos de literatura descente de SIEM, coisa seria, sem ser feita por algum “vendor I want sell modafoca”, Ok, trabalho em um, sim, mas tento ser o mais neutro possível nos posts e o mais acadêmico também, devem ter percebido! :)

2 comentários:

  1. Muito bom Zanardo, que bom que você voltou a postar e desistiu de participar do revival itinerante do Chapolin pela America Latina!

    Muito interessante a lista de tipos de correlação - não contava coma sua astúcia!

    S.S.

    ResponderExcluir
  2. Zanardo,

    Muito Bom!!! Estava estudando uns produtos e realmente isso complementa o que eu já imaginava.

    Abrs,
    Fábio Freitas

    ResponderExcluir