O que é monitoramento contínuo?

As recentes tendências do desenvolvimento de aplicações podem agregar um valor significativo aos seus investimentos de TI. Velocidade, eficiência, o perfil flexível da infraestrutura da nuvem, a natureza distribuída de microsserviços e as formas dinâmicas de implementação rápida estão entre as diversas inovações revolucionárias. Porém, cada passo à frente também pode trazer mais complexidade para a sua pegada de TI, afetando a administração contínua.

Por exemplo, vamos imaginar que você está executando uma aplicação Web e móvel multiníveis, com diversas peças móveis. Nesse caso, você provavelmente já sabe que é primordial ter uma visibilidade detalhada da integridade de cada componente e operação. Você pode coletar logs de cada elemento, e um sistema centralizado de monitoramento de logs utiliza todas essas informações para exibir o status dos seus serviços. No entanto, nem todos necessariamente compreendem o quanto uma solução de monitoramento contínuo pode ser útil.

O monitoramento contínuo é uma abordagem na qual uma organização constantemente monitora os sistemas de TI e redes a fim de detectar ameaças de segurança e problemas de desempenho ou de conformidade, de forma automatizada. A meta é identificar possíveis problemas e ameaças em tempo real e solucioná-los rapidamente.

Entretanto, nem todas as empresas implementam ou sabem como implementar o monitoramento contínuo. A maioria delas usa dados para embasar sua tomada de decisão, mas isso não é necessariamente monitoramento contínuo.

Neste artigo, abordaremos os vários tipos de monitoramento contínuo, os benefícios que ele traz e algumas práticas recomendadas para a criação bem-sucedida de um regime de monitoramento contínuo.

Tipos de monitoramento contínuo

O escopo do monitoramento contínuo consiste em três domínios principais.

1. A camada de aplicação do monitoramento contínuo mede o desempenho da aplicação. Essas aplicações podem ser personalizadas pela sua empresa ou por um software de terceiros. É recomendável rastear métricas como transações e erros por segundo, tempo de atividade do sistema e disponibilidade para monitoramento da aplicação. Esse rastreamento pode ajudar na rápida identificação de bugs de software, gargalos de desempenho e melhorar a experiência geral do usuário.
2. Monitoramento de infraestrutura é a próxima camada e abrange cálculo, armazenamento, rede e outros dispositivos físicos encontrados nos data centers tradicionais ou em seus equivalentes nas plataformas de nuvem. O monitoramento desse domínio permite que as equipes de TI solucionem problemas de desempenho, otimizem o uso, reduzam custos e prevejam necessidades de capacidade.
3. O monitoramento da rede ajuda a entender o status dos seus firewalls, switches, roteadores e outros dispositivos à medida que a rede se expande. Você capturará endereços IP de origem e destino, portas, e metadados de protocolos do seu tráfego de rede e usará esses dados para verificar o uso de largura de banda, perdas de pacote, atrasos e possíveis tentativas maliciosas de intrusão.

O monitoramento contínuo pode usar logs, métricas, rastreamentos e eventos como fontes de dados para cada domínio. Neste artigo, nosso foco é especificamente o monitoramento contínuo por meio de logs.

Benefícios do monitoramento contínuo

O valor que o monitoramento contínuo traz para suas operações de TI é maior visibilidade, o que resulta em respostas a incidentes (IR) mais ágeis e mais direcionadas. Quanto mais cedo você detectar erros, mais cedo pode iniciar a análise de causa-raiz e o processo de remediação subsequente. Em outras palavras, isso significa diminuir o tempo médio para resolução (MTTR).

Isso também significa que você pode enviar alertas automatizados para as equipes de TI apropriadas, para que elas possam resolver imediatamente qualquer emergência. Você também pode integrar ferramentas de automação, como runbooks, a esses alertas para aplicar correções e resolver o problema sem qualquer intervenção humana. Graça a essa abordagem proativas, os clientes do sistema de TI têm uma experiência totalmente transparente.

Por exemplo, uma ferramenta de monitoramento contínuo pode gerar um alerta informando que o espaço de armazenamento gratuito de um servidor específico está abaixo do limite predefinido. Como resultado, a equipe de infraestrutura pode receber uma mensagem de texto automatizada solicitando o aumento da capacidade do servidor ou espaço extra no volume em disco. Da mesma forma, um evento "múltiplas tentativas de login com falha" pode acionar uma mudança na configuração de rede, bloqueando o endereço IP ofensor e alertando a equipe de SecOps.

O uso inteligente de logs de monitoramento contínuo pode reduzir bastante o risco de ciberataques. A mineração de logs históricos do sistema permite criar referências de desempenho, de segurança e de comportamento do usuário. Sabendo como as coisas devem funcionar, você terá mais condições de reconhecer anomalias nos eventos de log atuais.

O aproveitamento de logs também permite correlacionar eventos de autenticação e rede (e compará-los às referências), além de detectar atividades suspeitas, como ataques de força bruta, password spraying, injeção de SQL ou exfiltração de dados. Por exemplo, os logs de rede podem destacar a saída de arquivos incomumente grandes da rede, enquanto os logs de autenticação podem associar essa atividade a um usuário específico em uma máquina específica.

Esse nível de inteligência também pode servir para analisar o comportamento do usuário e monitorar a experiência dele em tempo real. Por exemplo, os tempos de resposta do log de acesso de um servidor Web mostram o comportamento normal de uma página de destino específica. Uma lentidão repentina nessa métrica de experiência do usuário pode indicar trafego sazonal pesado — e, portanto, a necessidade de expandir recursos — ou até mesmo um possível ataque de negação de serviço distribuído (DDoS).

Práticas recomendadas para a implementação de monitoramento contínuo

Você pode adotar boas práticas para configurar soluções de monitoramento contínuo que sejam sustentáveis no longo prazo.

Em primeiro lugar, seu perfil de monitoramento deve estar alinhado às suas restrições organizacionais e técnicas. Embora seja tentador incluir todos os sistemas em seu regime de monitoramento contínuo, essa abordagem pode ser desnecessariamente cara e complexa. Se você não escolher cuidadosamente seus alvos, corre o risco de consumir em excesso uma valiosa largura de banda de rede, capacidade de armazenamento e poder de processamento.

Para isso, você precisa conhecer bem seu ambiente de TI e compreender necessidades práticas e limitações de custo. Consulte atentamente as partes interessadas das equipes relevantes para entender as necessidades e expectativas dessas partes. A meta é eliminar qualquer possibilidade de que um sistema crítico, mas não monitorado, fique off-line. No entanto, não deverá ser nenhuma surpresa se a equipe contábil receber uma conta técnica inesperada.

Após a identificação dos sistemas mais críticos, os eventos e as métricas mais importantes devem ser incluídos no escopo de monitoramento. Por exemplo, você pode priorizar erros da aplicação ou incluir eventos e métricas de desempenho. Talvez você precise decidir entre capturar eventos de mudança na configuração do firewall ou detalhes de tráfego bloqueado. Da mesma forma, pode ser necessário descobrir quais problemas de capacidade em seus servidores são mais críticos.

Assim que você estabelece um perfil do que deseja monitorar, precisa decidir como monitorar. Ao escolher um software de monitoramento, você precisa considerar suas necessidades corporativas e tecnológicas e o orçamento disponível. Para extrair o máximo valor do seu investimento, você precisa de um sistema que se encaixe no seu ambiente atual e na maior parte (ou em sua totalidade) do seu ambiente futuro. Isso significa que:

• A solução de monitoramento contínuo precisará funcionar com as stacks de aplicações identificadas na fase inicial de descoberta de dados. As stacks incluirão todos os componentes de software, infraestruturas e elementos de rede.
• Os logs, os eventos, os rastreamentos e as métricas de cada ponto de integração das stacks devem ser facilmente ingeríveis pela solução.
• A solução deve ser capaz de ingerir, armazenar e processar o volume de dados capturados ao longo do tempo.
• Os dados capturados dos sistemas de destino serão criptografados em trânsito e em repouso. Além disso, todas as informações sigilosas serão mascaradas onde for necessário.
• Quando as regulamentações do setor assim exigirem, os dados coletados devem ser hospedados em regiões geográficas específicas.
• Você precisa da capacidade de pesquisar, analisar e visualizar os dados monitorados.
• Diferentes eventos e métricas dos mesmos pontos de contato da stack de aplicações devem ser correlacionáveis.
• Você precisa visualizar tendências, anomalias e comparações e configurar alertas entre vários canais de comunicação.
• O modelo de licenciamento deve ser flexível, e o suporte de que você precisa deve estar disponível quando você precisa.

Por fim, tenha em mente que monitoramento contínuo não significa "configurar e esquecer". Espere e planeje-se para um processo contínuo e iterativo de adoção que se estende por todo o ciclo de vida do produto. Isso ocorre porque, com o tempo, você precisará:

• Integrar novos sistemas ao regime de monitoramento contínuo.
• Envolver todas as equipes relevantes para ter a certeza de que estão sendo beneficiadas pelo monitoramento.
• Realizar upgrade e modificar sistemas de origem para melhorar a integração deles com a solução.

Descubra a plataforma nativa de IA líder global para SIEM e gerenciamento de log de última geração

Eleve sua cibersegurança com o CrowdStrike Falcon^®, a principal plataforma nativa de IA para SIEM e gerenciamento de log. Experimente registro de log de segurança em uma escala de petabytes, optando por nativo em nuvem ou implementação auto-hospedada. Registre seus dados com uma arquitetura avançada e livre de índices, sem gargalos e que permite investigação de ameaças com mais de 1 PB de ingestão de dados por dia. Assegure capacidades de pesquisa em tempo real para superar os adversários, atingindo latência de menos de um segundo para consultas complexas. Aproveite uma visibilidade completa, consolidando os dados para quebrar silos e possibilitar que as equipes de segurança, TI e DevOps investiguem ameaças, monitorem o desempenho e garantam a conformidade perfeitamente em 3 bilhões de eventos e em menos de um segundo.