SIEM( Security Incident and Event Management), son plataformas que proveen análisis en tiempo real de los eventos de seguridad generados por los equipos de comunicación, servidores y todo lo que estemos monitoreando. Debemos entender que proviene de la combinación de SEM ( Security Event Management) y SIM ( Security Incident management).
SEM, Es el Segmento de la Administración de la seguridad que tiene que ver con Correlación de Eventos, Análisis en Tiempo real, Flujo de trabajo, además de que toma en consideración otras fuente como es el monitoreo del tráfico.
SIM, Tiene que ver con el almacenamiento a largo plazo de logs para su posterior análisis y reporte.
Esta combinación nos da en una sola plataforma una serie de funcionalidades, pero estas plataformas han ido evolucionando y mejorando, dándonos mucho más funcionalidades.
Características
·
Por qué debemos contar con un SIEM?
Todos sabemos que nuestros equipos de comunicación, servidores y demás, generan una gran cantidad de eventos diariamente, y no es cierto que los administradores se sientan día tras día a revisar cada linea de eventos generados por los equipos. Es por esta razón que las organizaciones necesitan un acercamiento un poco más enfocado a lo que realmente necesita ser monitoreado.
Cómo podemos definir un comportamiento normal en una infraestructura, si no estamos monitoreando diariamente dicha infraestructura, y tenemos que estar claros que no hay forma de definir tal comportamiento si no monitoreamos tráfico, eventos y demás, a cada momento. Y si no definimos esto, no será posible que detectemos un comportamiento anormal por lo que nuestra respuesta a posibles incidentes, nova a ser la mejor. La única manera de saber, que es normal en nuestra infraestructura es recopilar la mayor cantidad de información, en las actividades del día a día y buscar cualquier indicio de algo anormal.
Otro punto muy importante es, Cómo podemos saber que pasó en la red,luego de algún incidente, si no estamos centralizando los logs para su posterior análisis.
Todo esto,para que pueda ser logrado requiere de una solución que integre todas estas funcionalidades, y SIEM es el nombre.
Una cosa que diferencia un buen equipo de respuestas a incidentes de uno no tan bueno, es su capacidad de respuestas y su planificación. Y esta capacidad de respuesta solo se logra si contamos con todo lo que necesitamos para responder ante el incidente. Los logs son los únicos que nos pueden dar una noción de lo pasado en nuestra red, y no importa la información en tiempo real que tengamos, la investigación se centra en eventos pasados, y contar con una solución donde lo centralicemos y la rapidez de acceso es lo que mejora o degrada una buena respuesta a incidentes.
Algunas organizaciones no cuentan con dichas soluciones, a veces por el costo, o porque no entienden la criticidad del asunto, así que, como Encargados de Seguridad, debemos darle a entender a la organización la importancia de tener esta visibilidad en la infraestructura.
Una buena solución SIEM Open Source es OSSIM, es una buena opción para iniciar y ver cómo funcionan estas soluciones. (Soto, 2015)
Otros ejemplos de SIEM son los siguientes:
Sabemos que la seguridad absoluta no existe y por eso debemos ayudarnos de herramientas como estas, aunque vuelvo a recordar que la seguridad de una organización no se mide por el número de herramientas que disponga, sino por la concienciación, controles y procedimientos de seguridad que se establezcan y se cumplan por todo el personal de la organización. (ROMERO TREJO, 2013)
Bibliografía
SEM, Es el Segmento de la Administración de la seguridad que tiene que ver con Correlación de Eventos, Análisis en Tiempo real, Flujo de trabajo, además de que toma en consideración otras fuente como es el monitoreo del tráfico.
SIM, Tiene que ver con el almacenamiento a largo plazo de logs para su posterior análisis y reporte.
Esta combinación nos da en una sola plataforma una serie de funcionalidades, pero estas plataformas han ido evolucionando y mejorando, dándonos mucho más funcionalidades.
Características
·
- Alertas y Correlación de Eventos
- Monitoreos de integridad
- Agregación de Logs
- Análisis Forenses
- Análisis en tiempo Real
- Manejo de Vulnerabilidades
- Entre otros.
Por qué debemos contar con un SIEM?
Todos sabemos que nuestros equipos de comunicación, servidores y demás, generan una gran cantidad de eventos diariamente, y no es cierto que los administradores se sientan día tras día a revisar cada linea de eventos generados por los equipos. Es por esta razón que las organizaciones necesitan un acercamiento un poco más enfocado a lo que realmente necesita ser monitoreado.
Cómo podemos definir un comportamiento normal en una infraestructura, si no estamos monitoreando diariamente dicha infraestructura, y tenemos que estar claros que no hay forma de definir tal comportamiento si no monitoreamos tráfico, eventos y demás, a cada momento. Y si no definimos esto, no será posible que detectemos un comportamiento anormal por lo que nuestra respuesta a posibles incidentes, nova a ser la mejor. La única manera de saber, que es normal en nuestra infraestructura es recopilar la mayor cantidad de información, en las actividades del día a día y buscar cualquier indicio de algo anormal.
Otro punto muy importante es, Cómo podemos saber que pasó en la red,luego de algún incidente, si no estamos centralizando los logs para su posterior análisis.
Todo esto,para que pueda ser logrado requiere de una solución que integre todas estas funcionalidades, y SIEM es el nombre.
Una cosa que diferencia un buen equipo de respuestas a incidentes de uno no tan bueno, es su capacidad de respuestas y su planificación. Y esta capacidad de respuesta solo se logra si contamos con todo lo que necesitamos para responder ante el incidente. Los logs son los únicos que nos pueden dar una noción de lo pasado en nuestra red, y no importa la información en tiempo real que tengamos, la investigación se centra en eventos pasados, y contar con una solución donde lo centralicemos y la rapidez de acceso es lo que mejora o degrada una buena respuesta a incidentes.
Algunas organizaciones no cuentan con dichas soluciones, a veces por el costo, o porque no entienden la criticidad del asunto, así que, como Encargados de Seguridad, debemos darle a entender a la organización la importancia de tener esta visibilidad en la infraestructura.
Una buena solución SIEM Open Source es OSSIM, es una buena opción para iniciar y ver cómo funcionan estas soluciones. (Soto, 2015)
Otros ejemplos de SIEM son los siguientes:
- RSA EnVision
- Arcsight
- LogICA
- LogRhythm
Sabemos que la seguridad absoluta no existe y por eso debemos ayudarnos de herramientas como estas, aunque vuelvo a recordar que la seguridad de una organización no se mide por el número de herramientas que disponga, sino por la concienciación, controles y procedimientos de seguridad que se establezcan y se cumplan por todo el personal de la organización. (ROMERO TREJO, 2013)
Bibliografía
- ROMERO TREJO, D. (11 de marzo de 2013). Security Information and Event Management. Obtenido de http://www.davidromerotrejo.com/2013/03/security-information-and-event.html
- Soto, J. (12 de mayo de 2015). Qué es un SIEM y porque deberías Implementar uno. Obtenido de JSITECH: http://www.jsitech.com/generales/que-es-un-siem-y-porque-deberias-implementar-uno/