Sistemas SIEM
Enviado por Fernando Prieto • 11 de Febrero de 2023 • Tareas • 485 Palabras (2 Páginas) • 43 Visitas
Los sistemas SIEM (Security Information and Event Management) se han convertido en un componente central de seguridad de las organizaciones modernas. La razón principal es que cada usuario deja un rastro virtual en forma de log dentro de una red. Los sistemas SIEM están diseñados para recopilar datos de los ficheros de log con el fin de generar información sobre ataques y eventos pasados, lo que ayuda a introducir el concepto de SOC (Security Operation Center) que hará uso de la información extraída del SIEM para gestionar todas las actividades encaminadas a garantizar la seguridad de la empresa.
Las soluciones SIEM pueden ser difíciles de manejar y que únicamente quedan accesibles a grandes empresas, pero nada más lejos de la realidad ya que existen plataformas diseñadas para organizaciones de todos los tamaños. A medida que las organizaciones actualizan y mejoran sus infraestructuras de TI cada vez son más complejas, lo que hace que los sistemas SIEM se hayan vuelto aún más importantes en los últimos años. Contrariamente a la creencia popular, los firewalls y los paquetes antivirus no son suficientes para proteger una red en su totalidad. Los ataques de día cero aún pueden penetrar las defensas de un sistema incluso con estas medidas de seguridad. Los sistemas SIEM cuando se usan adecuadamente, representan una solución unificada para recopilar eventos y alertas de seguridad de todas las tecnologías que intervienen en una red (aplicaciones antivirus, firewalls, soluciones de prevención de intrusiones, etcétera). SIEM almacena, normaliza, agrega y aplica análisis a esos datos, y ofrece visibilidad completa para descubrir, en tiempo real, tendencias y patrones fuera de lo común que permitan detectar los ataques que se están produciendo, o incluso anticiparse a los que se van a producir, por lo tanto, permiten una rápida respuesta cuando hay un problema. La tecnología SIEM generalmente se implementa para gestionar tres casos de uso principales: − Detección avanzada de amenazas: monitorización, alertas en tiempo real y análisis e informes a largo plazo de tendencias y comportamientos con respecto a la actividad de usuarios y entidades, acceso a datos y actividad de aplicaciones. La detección de amenazas incluye la incorporación de inteligencia de amenazas y contexto empresarial, en combinación con capacidades efectivas de consulta ad hoc. − Monitorización básica de seguridad: administración de logs, informes de cumplimiento normativo y monitorización básica en tiempo real de controles de seguridad seleccionados. 2 − Investigación y respuesta a incidentes: paneles y capacidades de visualización, así como soporte de flujo de trabajo y documentación para permitir la identificación, investigación y respuesta efectivas ante incidentes. Los SIEM han evolucionado a lo largo de los años. Anteriormente, los SIEM eran caros con hardware personalizado para administrar un gran volumen de datos. También
...