El SIEM (Sistema de Gestión de Eventos e información de seguridad) es una solución para la supervisión de la seguridad, detección e investigación cibernéticas. El SIEM recopila, gestiona y analiza registros de eventos generados por redes y sistemas, contribuyendo a una detección temprana de los incidentes de seguridad y a una respuesta rápida.

Descripción general del SIEM

Funciones del SIEM

  • Recopilación de registros: Recopila datos de alertas y registros procedentes de diversos dispositivos y aplicaciones.
  • Correlaciona eventos de seguridad: Detecta patrones anómalos y señales de ataques correlacionando distintos eventos y registros.
  • Alertas y notificaciones: Detecta y alerta de actividades anómalas e incidentes de seguridad con base en reglas predefinidas.
  • Generación de informes: Proporciona información y procedimientos para una rápida respuesta a los incidentes de seguridad y genera flujos de trabajo e informes para la gestión de incidentes.

Casos de uso de SIEM en SOC

El SIEM se utiliza principalmente en un Centro de operaciones de seguridad (SOC), una estructura que supervisa la seguridad de una organización y estudia la aparición de incidentes y ataques cibernéticos. El SIEM es una herramienta importante para profesionales de seguridad dado que proporciona un apoyo eficiente a operaciones de seguridad de diferentes maneras.

Notificación de alertas mediante una gestión integrada de registros: Los SIEM gestionan diferentes registros de forma integrada y detectan señales de actividad anómala o ataques y alertan al personal de seguridad. Por ejemplo, además de detectar malware y otros comportamientos no autorizados, los SIEM le alertarán cuando detecten eventos sospechosos, como varios intentos de inicio de sesión a los servidores que almacenan información crítica, o el uso de servicios de nube no autorizados por su compañía. 

Investigación y respuesta de incidentes: Con base en eventos sospechosos o no autorizados, el SIEM investiga si hay o no un ataque cibernético en curso (comportamiento normal, error de acceso, etc.). Si determina que hay un ataque cibernético, puede rastrear la ruta y el alcance del ataque, incluido si es un ataque cibernético interno o externo, con el fin de proporcionar claves para la respuesta del incidente. Se tomarán las siguientes medidas:

  • Si determina que es un ciberataque externo: Bloquea la IP de la fuente de acceso, cambia el umbral para que el producto de seguridad lo bloquee, etc.
  • Si es un empleado quien realiza el comportamiento: Si es un empleado quien infringe la política establecida por la empresa (p. ej., hay un acceso al almacenamiento en la nube incluso cuando el uso de almacenamiento de nube está prohibido), emite una advertencia al empleado, etc.

Creación de informes: Desde una perspectiva de medio a largo plazo visualice el estado de las infracciones de las políticas de seguridad de su empresa, el impacto de los ataques cibernéticos y cree un informe. Al visualizar qué tipo de ataques cibernéticos han impactado a la empresa en un mes, tres meses, seis meses, un año, etc., la compañía puede considerar qué medidas de seguridad deben tomarse próximamente.

Los principales casos de uso del SIEM se enumeran arriba, pero el mayor beneficio del SIEM para el personal de seguridad es la capacidad de visualizar rápidamente los eventos y la información de registro procedente de diferentes productos y enlazarlos a la siguiente acción.

Desafíos del SIEM

Si bien el SIEM ofrece beneficios a los SOC y a otras organizaciones en lo que respecta a una seguridad mejorada y a una eficiencia operacional, también presenta los siguientes desafíos.

Implementación y configuración complejas: Los SIEM son sistemas complejos que requieren tiempo y experiencia para implementarlos y configurarlos. Los profesionales de seguridad deben trabajar de forma continua para integrar los registros de los dispositivos y las fuentes de datos, configurar reglas y ajustar alertas.

Procesamiento de grandes cantidades de datos de registros: Se debe procesar y analizar una gran cantidad de datos de registros. Se necesitan recursos de almacenamiento y hardware específicos para procesar grandes cantidades de datos. También es necesario para gestionar periodos de conservación de datos de registros y reducción/compresión de datos. 

Respuesta continua a los falsos positivos y a la sobrecarga de alertas: Los SIEM generan alertas con base en patrones y reglas predefinidas. Sin embargo, pueden ocurrir falsos positivos (falsos positivos: actividad legítima detectada erróneamente como maliciosa) y falsos negativos (falsos negativos: actividad maliciosa omitida). Asimismo, dependiendo de la configuración, es posible recibir una gran cantidad de alertas, lo que requiere un ajuste continuo de alertas y mejoras de las reglas en el lado del usuario.

Respuesta tras detección de incidentes: Cuando se detecta un evento en tiempo real, el incidente actual se debe confirmar y responder. Si el personal de seguridad no ajusta las alertas con antelación, tendrá que responder a alertas de distintos tamaños, lo que puede reducir la eficiencia operacional.

Requisitos de recursos y habilidades: La adecuada implementación y operación del SIEM requiere habilidades específicas de gestión de registros y análisis de seguridad. También requiere la habilidad de recursos adecuados (personal, hardware y software).

Diferencias entre SIEM y XDR

This is an image of different security layers that can feed into XDR

 

De forma similar al SIEM como herramienta para mejorar la eficiencia y el nivel de seguridad está el XDR (Extended Detection and Response). Las diferencias entre SIEM y XDR son las siguientes:

Objetivos de recopilación de datos y contextualización

  • SIEM: Recopila, gestiona y analiza eventos y registros generados en una red o sistema. El análisis se realiza principalmente en los datos de registros para detectar actividad anómala y señales de ataques.
  • XDR: Recopila y analiza los datos de telemetría procedentes de diversas fuentes de datos, incluidos endpoints, redes y la nube. No solo recopila eventos de seguridad, sino que también información de procesos y archivos de endpoints, datos de tráfico de red, etc.

Análisis y detección

  • SIEM: Analiza los datos recopilados en función de los algoritmos y reglas predefinidas Detecta actividad inusual o señales de ataques y genera las correspondientes alertas y advertencias. Algunos productos tienen la capacidad de realizar un análisis de correlación entre los registros mecánicos. Sin embargo, el juicio de si un evento es o no un posible ataque cibernético básicamente reside en la «intuición humana» del usuario.
  • XDR: Con base en la información sobre amenazas (malware, sitios maliciosos, emails maliciosos, métodos de ataque utilizados por los atacantes cibernéticos, etc.) en posesión de las empresas de seguridad cibernética que proporcionan XDR, se determinan las señales de ataques cibernéticos para la telemetría recopilada. Por ejemplo, las herramientas legítimas proporcionadas por Microsoft, como PsExec, Cobalt Strike y Mimikatz, a menudo se usan indebidamente en los ataques cibernéticos.

Automatización y respuesta ante incidentes

  • SIEM: Proporciona información básica y procedimientos para incidentes de seguridad para ayudar con la respuesta del incidente. El SIEM está principalmente enfocado en la generación de alertas y supervisión, mientras que otros productos pueden requerir procedimientos de respuesta reales.
  • XDR: Proporciona capacidades de orquestación y automatización para dar soporte a la respuesta rápida a los incidentes de seguridad. Se analizan las amenazas detectadas y se proporciona una orientación para la respuesta en tiempo real.

Dependencia de la fuente

  • El valor de una solución SIEM está directamente relacionada con las fuentes de las cuales obtiene información. Si hay lagunas en la cobertura, a menudo se ve demasiado tarde, si es que se ve.
  • En consecuencia, si comparamos el SIEM frente al XDR, también deberíamos señalar que en la mayoría de los casos no se trata de una elección entre dos alternativas. A menudo se trata de XDR y SIEM dado que los SIEM obtienen más valor de los registros de detección y respuesta. No se trata de tomarlo como «la última palabra».
  • Debido a la dependencia de una solución SIEM a la calidad de la información generada por proveedores externos, a menudo ocurre que ambas variantes se utilizan en paralelo y las soluciones XDR pasan los datos correlacionados previamente al SIEM.

Solución SIEM de Trend Micro

Optimice flujos de trabajo con un ecosistema que incluye SIEM, SOAR, IAM, firewall, información sobre amenazas, gestión de servicio de TI y mucho más.

SIEM

Información relacionado