Para garantir a segurança, facilitar o troubleshooting e manter a conformidade legal, você deve registrar logs de firewall (bloqueios e permissões), autenticações de usuários (VPN, Active Directory), tráfego de rede (NetFlow) e serviços essenciais como DNS e DHCP. O tempo de retenção ideal varia de 6 meses a 1 ano, dependendo de regulamentações: no Brasil, o Marco Civil da Internet exige a guarda de registros de conexão por 1 ano, enquanto normas globais de pagamento, como o PCI-DSS, exigem 1 ano de armazenamento total, com os últimos 3 meses mantidos prontamente acessíveis para auditorias imediatas.
Principais Aprendizados
- Foque em eventos críticos: Registre falhas de login, alterações de privilégios e bloqueios de firewall para evitar sobrecarga de armazenamento com tráfego benigno.
- A lei dita o prazo: A retenção não é apenas técnica, é legal. O Marco Civil da Internet e normas como a LGPD guiam os prazos mínimos.
- Centralização é vital: Enviar logs esparsos para um servidor central (Syslog/SIEM) impede que invasores apaguem seus rastros locais após uma invasão.
Por que os logs de rede são tão essenciais?
Logs são a caixa-preta da sua infraestrutura de TI. Quando a rede cai misteriosamente ou quando ocorre uma violação de dados, os registros de rede são a única forma de reconstruir a linha do tempo do incidente. Sem eles, você está cego. Ao documentar uma rede, a política de logs deve ser o primeiro capítulo focado em segurança contínua.
Eles servem para dois propósitos fundamentais:
- Troubleshooting ativo: Identificar gargalos, falhas de hardware ou configurações incorretas em roteadores e switches.
- Forense e Segurança: Rastrear movimentos laterais de malwares, tentativas de força bruta e exfiltração de dados.
O que registrar? Os 3 tipos de logs indispensáveis
Armazenar tudo (full packet capture) é financeiramente inviável para 99% das empresas. O segredo é focar nos metadados e eventos de segurança.
1. Logs de Firewall e Roteamento
O firewall é a porta de entrada da sua rede. Você não precisa registrar cada pacote aceito (isso geraria terabytes diários), mas deve obrigatoriamente registrar:
- Tráfego bloqueado (Drop/Deny) de IPs externos.
- Tentativas de conexões de saída para portas incomuns (pode indicar malware se comunicando com um servidor de Comando e Controle).
- Alterações nas regras do firewall (quem alterou e quando).
2. Autenticação e Acesso (VPN, AD, Radius)
Saber quem entrou na rede e de onde é crucial. Registre:
- Logins bem-sucedidos e, principalmente, falhas repetidas de login (indicativo de força bruta).
- Sessões de VPN (IP de origem, usuário, horário de conexão e desconexão).
- Elevação de privilégios (quando um usuário comum usa comandos de administrador).
3. Tráfego e Resolução de Nomes (DNS e DHCP)
O DHCP diz qual dispositivo (MAC Address) estava usando qual IP em um momento específico. Já o DNS mostra para onde esse dispositivo tentou ir. Utilizar um servidor DNS bem configurado e registrar suas consultas permite identificar máquinas infectadas tentando acessar domínios maliciosos conhecidos.
Por quanto tempo guardar os logs? (A regra de ouro)
A resposta para a retenção de logs raramente é uma decisão apenas técnica; ela é guiada por leis governamentais e normas da indústria. Segundo o NIST (National Institute of Standards and Technology), em sua publicação especial 800-92, a gestão de logs deve ser baseada no risco e na conformidade da organização.
Marco Civil da Internet (Brasil)
Se você atua como um provedor de conexão ou gerencia redes públicas (como Wi-Fi de hotéis ou shoppings), o Marco Civil da Internet (Lei nº 12.965/2014) é claro: os registros de conexão (data, hora, IP e fuso horário) devem ser guardados sob sigilo por 1 ano.
Padrões Internacionais (PCI-DSS e GDPR)
Se a sua rede processa transações de cartão de crédito, você está sujeito ao PCI-DSS (Payment Card Industry Data Security Standard). O Requisito 10.7 dita que você deve reter o histórico de logs de auditoria por pelo menos 1 ano, garantindo que os últimos 3 meses estejam imediatamente disponíveis para análise.
Como gerenciar logs sem falir com armazenamento
O volume de logs gerado por uma rede de médio porte pode atingir dezenas de gigabytes por dia. Para lidar com isso ao monitorar sua infraestrutura, aplique as seguintes práticas:
- Filtragem na origem: Configure seus switches e servidores para enviar apenas logs com severidade de nível "Aviso" (Warning) para cima ao servidor central.
- Armazenamento em camadas (Tiered Storage): Mantenha os logs dos últimos 30 a 90 dias em discos rápidos (SSD) para buscas rápidas. Mova os logs mais antigos (de 3 a 12 meses) para armazenamentos frios e baratos (como Amazon S3 Glacier).
- Compressão: Logs são essencialmente arquivos de texto simples. Comprimi-los pode reduzir o tamanho do arquivo em até 90%.
Para facilitar a visualização de anomalias diárias, é recomendado agregar esses dados e exibir os alertas críticos em um dashboard de rede bem estruturado.
Perguntas Frequentes
Qual a diferença entre logs de sistema e logs de rede?
Logs de sistema registram eventos internos de um servidor ou computador (como um serviço iniciando, uso de CPU, falha de disco). Logs de rede registram a comunicação entre diferentes dispositivos (pacotes bloqueados, conexões estabelecidas, resoluções de IP).
O que acontece se eu não guardar os logs da minha rede?
Além de dificultar imensamente a resolução de problemas técnicos (troubleshooting), você pode enfrentar sanções legais severas caso ocorra um vazamento de dados (sob a LGPD) ou pode perder certificações essenciais para o negócio, como a ISO 27001 ou PCI-DSS.
Como calcular o espaço de armazenamento necessário para logs?
O cálculo básico envolve multiplicar o EPS (Eventos Por Segundo) médio da sua rede pelo tamanho médio de cada evento (geralmente entre 100 e 500 bytes) e multiplicar pelos segundos de um dia e pelos dias de retenção exigidos. É altamente recomendável usar ferramentas de dimensionamento (calculadoras de SIEM) fornecidas pelos fabricantes de software.
0 Comentários