Sistema de gestión de eventos e información de seguridad

Sistema de gestión de eventos e información de seguridad
Información sobre la plantilla
Siem1.jpg
Concepto:SIEM. Sistema de información y gestión de eventos de seguridad.

SIEM (Security Information and Event Management) es un sistema de información y gestión de eventos de seguridad. Su función inicial es recoger y almacenar toda la información y los eventos que se producen dentro de un sistema:

  • Servidores
  • Estaciones de trabajo
  • Móviles
  • Dispositivos IoT.

SIEM: recolección de trazas

  • Recepción de una cadena de datos en formato syslog proveniente de la fuente de datos.
  • Aplicaciones agentes instaladas directamente en los dispositivos a monitorear.
  • Invocación de la interfaz de línea de comandos de los sistemas monitoreados.
  • Interfaces de programación de aplicaciones (API) provistas por los desarrolladores de los sistemas monitoreados.
  • Conexión a la base de datos de la aplicación que origina las trazas.

Arquitectura de un sistema SIEM

Arquitectura siem.jpg

SIEM: tipos de correlación

  • Correlación lógica
    • Tiene en cuenta la ocurrencia de eventos del mismo tipo en diferentes instantes de tiempo para identificar con mayor fiabilidad los ataques
  • Correlación cruzada
    • Implica el análisis de eventos de seguridad de diferentes sistemas, dispositivos y aplicaciones, para eliminar alertas que pueden constituir falsos positivos.
  • Correlación de activos
    • Implica el análisis de eventos de seguridad en el contexto de la organización, donde se tiene en cuenta la importancia de los activos informáticos a la hora de emitir alertas sobre los ataques detectados

Potencial de los sistemas SIEM

  • Gestión centralizada de información de seguridad.
  • Correlación automatizada de eventos.
  • Integración de diferentes sistemas de SI.
  • Espectro de controles de SI incluidos:
    • Inventario de activos.
    • Gestión de trazas.
    • Monitoreo de usuarios.
    • Monitoreo de eventos.
    • Chequeo del cumplimiento de regulaciones.
    • Gestión de incidentes.
  • Generación automática de reportes.

Efectividad de los SIEM

Para que este tipo de sistema sea efectivo es necesario realizar un proceso profundo de ajuste y personalización donde se defina de forma adecuada el contexto de la organización. Esto se logra mediante la utilización de reglas de correlación, la valoración correcta de los activos de la organización y un adecuado filtraje de eventos de seguridad.

Fuente

  • Curso Fundamentos de la Ciberseguridad . Autores. M.Sc. Henry Raúl González Brito - Dr.C. Walter Baluja García - Dr. C. Raydel Montesino Perurena


Obtenido de «https://www.ecured.cu/index.php?title=Sistema_de_gestión_de_eventos_e_información_de_seguridad&oldid=3825454»