<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1678611822423757&amp;ev=PageView&amp;noscript=1">
Defrag This

| Read. Reflect. Reboot.

La Evolución del SIEM: Del Cumplimiento, A La Seguridad

Alex Jablokow| abril 22 2019

| security, Compliance

SIEM-evolution

El software de gestión de eventos e información de seguridad (SIEM) proporciona una forma de rastrear, integrar y analizar la gran cantidad de datos de registro que provienen de las aplicaciones y el hardware de red de una organización. Su valor original provino de los informes de cumplimiento, pero se está convirtiendo en una herramienta cada vez más valiosa para la seguridad.

Los archivos de registro están en todas partes

En cualquier organización, los dispositivos de usuario final, los servidores, los equipos de red, los firewalls y una gran cantidad de otros componentes generan continuamente archivos de registro, listas de eventos y acciones de software con sello de tiempo. Todos los eventos generan un registro, pero los eventos que indican algo anómalo o malicioso a menudo no se borran de inmediato.

Los orígenes de SIEM en el cumplimiento

Los sistemas SIEM recopilan datos de múltiples ubicaciones para permitir la detección de tendencias y patrones que podrían indicar un problema. SIEM nace del software anterior llamado SIM (gestión de información de seguridad) y SEM (gestión de eventos de seguridad), y su primera generación fue en la década de 1990.

El ímpetu original para una solución SIEM no fue la seguridad per se, sino el cumplimiento. Las organizaciones necesitaban una forma de cumplir con los requisitos de supervisión e informes de mandatos como HIPAA, Sarbanes Oxley y, en particular, el Estándar de seguridad de datos de la industria de pagos (PCI DSS). La recopilación y el análisis de los eventos capturados por los archivos de registro proporcionaron informes sobre actividades no conformes y violaciones de políticas, datos de eventos ordenados por el tiempo para auditorías de cumplimiento y evidencia de qué tan bien estaban funcionando los esfuerzos de prevención de amenazas.

El uso de SIEM para la respuesta a amenazas se ha vuelto relativamente más importante en los últimos años, pero los informes de cumplimiento siguen siendo una función clave.

Fuentes, formatos e integración de archivos log

Los archivos de registro se desarrollaron caso por caso y sistema por sistema, por lo que carecen de un estándar común. Son en su mayoría texto simple, y están escritos para ser leídos por humanos, no por computadoras. Pero el volumen de ellos es demasiado grande para ser leído por cualquiera.

Por lo tanto, un proceso importante de SIEM es dividir todos los archivos de registro en componentes comunes y normalizarlos en una tabla de base de datos. Los proveedores de SIEM generalmente enumeran los cientos de formatos de archivos de registro que pueden incorporar automáticamente, actualizando la lista regularmente. Algunos permiten la integración general de todas las fuentes de registro, a costa de una gran cantidad de trabajo inicial por parte del administrador.

Los crecientes usos de seguridad de las herramientas SIEM

Muchas ofertas de SIEM ahora incorporan fuentes de inteligencia de amenazas (a menudo de terceros) y proporcionan análisis de seguridad adicionales para rastrear el comportamiento de la red, así como el comportamiento del usuario para distinguir entre actividad benigna y maliciosa.

Y los análisis incluidos en los paquetes de SIEM se basan cada vez más en el aprendizaje automático, el análisis estadístico y otras capacidades de big data más sofisticadas.

Los SIEM generalmente ofrecen capacidades de respuesta automatizadas para bloquear actividades maliciosas en tiempo real. Estos deben ser configurados por la organización para que coincidan con su propia implementación y entorno.

El lado humano de SIEM

El software, incluso el software sofisticado, es tan efectivo como los procesos y flujos de trabajo subyacentes sobre los que realiza el seguimiento, el soporte y el informe. En general, dicho software debe usarse para monitorear y automatizar procesos de bajo nivel para que el personal pueda centrarse en el análisis, la respuesta y la planificación, y para brindar a los responsables de la toma de decisiones ejecutivas una visión clara de lo que sucede en general.

Por lo tanto, cualquier persona que implemente un SIEM debe enfocarse en lo que la organización planea lograr. Una comprensión clara de cómo SIEM lo ayudará a lograr esos objetivos le dará mayor valor a la adquisición de software. Las organizaciones más pequeñas deben reconocer sus recursos limitados e identificar la infraestructura esencial para mantener el negocio en funcionamiento, y centrarse en esos archivos de registro específicos.

Los SIEM hacen que el manejo de incidentes sea más efectivo. Los SIEM a menudo proporcionan visualizaciones de datos y funciones de búsqueda para apoyar esto. Son una herramienta para administrar los sistemas de seguridad existentes y permiten una visión única de la actividad de la red, lo que a través del tiempo proporciona a un operador experto un sentido más intuitivo del estado del sistema.

El lugar de SIEM en el mercado

Los usuarios de SIEM han sido típicamente grandes empresas, debido a su costo y al costo del talento calificado que se necesita para obtener su uso completo. Pero sus capacidades también pueden ser atractivas para las organizaciones más pequeñas, siempre y cuando puedan centrarse en funciones críticas para el negocio para una implementación rentable.

!Prueba MOVEit hoy!

Topics: security, Compliance

Leave a Reply

Your email address will not be published. Required fields are marked *

THIS POST WAS WRITTEN BY Alex Jablokow

Alex Jablokow is a freelance writer who specializes in technical and healthcare business. He blogs about the Internet of Things, software, inertial guidance systems, and other topics for business clients. Sturdy Words, his freelance content business, is at www.sturdywords.com.

Free Trials

Getting started has never been easier. Download a trial today.

Download Free Trials

Contact Us

Let us know how we can help you. Focus on what matters. 

Send us a note

Subscribe to our Blog

Let’s stay in touch! Register to receive our blog updates.