UNIR Revista
Los SIEM son sistemas de monitorización y supervisión que permiten anticipar o detectar incidentes de seguridad que afecten a la disponibilidad, integridad y confidencialidad de la información.
Los SIEM (Security Information and Event Management), o Sistemas de Gestión de Eventos e Información de Seguridad, son el núcleo principal de la monitorización y supervisión de los activos de las TIC de una organización.
Mediante el procesado de los eventos de seguridad de los distintos sistemas de información y comunicaciones, permiten anticipar o detectar incidentes de seguridad de la información. Además, son la principal herramienta utilizada por los Centros de Operaciones de Seguridad, SOCs (Security Operations Centers), para la gestión de incidentes.
La gestión de incidentes de seguridad de la información consiste en la detección de estos, su análisis y una respuesta adecuada cuando suceden para contenerlos y erradicarlos. Los SIEM juegan un papel fundamental en la detección y el análisis.
¿Cómo funcionan los SIEM?
Las plataformas SIEM reciben los logs de los distintos sistemas de información (servidores, BBDD, aplicaciones…), dispositivos de red (routers, switches, etc.) y otras soluciones de seguridad (firewalls, IDS/IPS, proxis, NAC…). Es importante diferenciar entre un SIEM y un Syslog, ya que, si bien el propósito de los Syslog es centralizar todos los logs de la infraestructura tecnológica de una organización, el de un SIEM es detectar incidentes de seguridad.
El SIEM normaliza los logs recibidos de los distintos activos de las TIC, esto es, los transforma a una estructura adecuada para trabajar con ella y que sea común para todos ellos. Dicho de otro modo, los transforma en eventos. Un ejemplo de esta normalización: imaginemos un SIEM que está recibiendo logs de un firewall. Generalmente, estos logs contendrán la IP origen y destino de la comunicación y la acción que ejecuta el firewall permitirá la comunicación o la bloqueará, pues la normalización que hará el SIEM es generar dos eventos, uno de comunicación permitida y otro de comunicación bloqueada, que contendrá la información relevante como las IPs, etc. extraída de los logs.
Una vez normalizados los logs y transformada la información en eventos, el SIEM correlaciona los eventos recibidos de los activos, los relaciona aplicando una capa de inteligencia para detectar patrones sospechosos, comportamientos anómalos, etc. que indican que se puede producir o se está produciendo un incidente de seguridad.
Todos los SIEM traen un conjunto predefinido de reglas de correlación que modelan distintos casos de uso (escenarios de ataques informáticos o incidentes de seguridad) y, además, permiten crear reglas personalizadas o modificar las predefinidas para ajustarlas a las necesidades y casuísticas del entorno supervisado.
Además, los eventos se pueden correlacionar con información de fuentes de inteligencia externa que enriquecen o mejoran la detección de incidentes, tales como información de amenazas y vulnerabilidades, reputación de IPs, etc.
El SIEM generará alertas cuando los eventos procesados cumplan las condiciones de las reglas indicando la posibilidad de que se esté produciendo un incidente.
¿Cómo implantar un SIEM?
De manera general, para implantar un SIEM seguiremos los siguientes pasos:
- Identificar los procesos críticos de negocio de una organización, los servicios electrónicos que los sustentan y los activos de las TIC que soportan estos servicios.
- Determinar desde un punto de vista de seguridad de la información cuáles son los sistemas de información, comunicaciones y seguridad críticos y que deben ser supervisados.
- Identificar cuáles son los sistemas que enviarán al SIEM los logs de los activos de las TIC a supervisar, es decir, las fuentes de información que notificarán al SIEM. Por ejemplo, en el caso de que la organización disponga de un Syslog al que todos los sistemas envían sus logs, la fuente de información que los enviará al SIEM será el Syslog y no cada uno de los sistemas.
- Revisar la configuración de auditoría de los distintos activos de las TIC a supervisar para asegurar que los logs que están enviando sean adecuados y óptimos desde el punto de vista de seguridad de la información.
- Realizar las configuraciones necesarias en las fuentes de información del SIEM para que le envíen los logs.
- Realizar los ajustes necesarios en la configuración del SIEM, reglas de correlación, notificaciones, alertas, etc.
- Modelar nuevos casos de uso adaptados a las necesidades y casuísticas de la organización.
- Depuración de falsos positivos mediante el ajuste fino de las reglas.
¿Cuáles son los principales SIEM del mercado?
Según el cuadrante mágico Gartner de 2020, los SIEM líderes del mercado son:
En conclusión, los SIEM son la plataforma de monitorización y supervisión central para la detección de incidentes de seguridad de la información de una organización. Fórmate en las principales técnicas de protección frente a ataques y amenazas en sistemas operativos, redes, software de aplicación, sistemas web y bases de datos con el Máster en Ciberseguridad online de UNIR.