Ensayo Herramientas Siem

ENSAYO HERRAMIENTAS SIEM
Fecha: 12/11/2017 SENA
Especialización en Seguridad de Redes de Computadores
Código Ficha: 1500057
AUTOR
TUTOR
ALBERT MONTOYA
ESPECIALIZACIÓN SEGURIDAD EN REDES DE DATOS

INTRODUCCIÓN
El Sistema de información SIEM (Security Information Event Management) como lo dicen

sus siglas provee información que se actualiza diariamente por lo tanto es confiable sobre
características, y actividades de las empresas, facilitando oportunidades comerciales y de
negocios para cualquier empresa, ya sea pequeña, mediana o grande.
La gestión centralizada de registros es un tema que se ha desarrollado en el último tiempo

con la evolución de las TI, a pesar que ha tenido una investigación por instituciones
internacionales, El auge y la importancia que ha obtenido la seguridad de la información,
permite el desarrollo de nuevas tecnologías que impulsa el desarrollo en la gestión
centralizada de LOGS mediante el tratamiento que se realiza sobre estos.
DESARROLLO
Las herramientas y aplicaciones tecnológicas, generan registros de seguridad que
normalmente son almacenados localmente y contienen información acerca de los
estados, comportamientos y cambios que ocurren en cada dispositivo.
Estos registros ayudan a encontrar vulnerabilidades, saber lo que está ocurriendo con los
sistemas de información a través de toda la infraestructura de TI de una organización,
garantizar y actualizar políticas de seguridad y realizar trazabilidad de algún proceso
específico. Aunque es posible hacer un análisis local de los registros, en cada uno de las
fuentes generadoras por separado, en muchas ocasiones no se evidencia un
comportamiento asociando los registros de varios dispositivos en conjunto, porque no hay
un conocimiento sólido, para validar las interacciones que puedan tener entre los sistemas
de información; Por lo cual se recomienda el uso de un Sistema de Administración de
Eventos y Seguridad de la Información - SIEM por sus siglas en inglés (Security Information
Event Management) para realizar la correlación y análisis centralizado de estos registros.
SIEM no solo beneficia a las organizaciones a nivel de seguridad y trazabilidad de sucesos,

también contribuye a aquellas empresas u organizaciones que pretenden implementar
algunos controles como por ejemplo el estándar PCI (Entidades financieras o que utilicen
el comercio electrónico) o las normas Sarbanes-Oxley (Organizaciones que cotizan en la
bolsa de USA), dado que estas exigen algunas características como automatización de los
procesos de auditoria, en donde los SIEM con el análisis y gestión de los eventos ayudan a
que el proceso sea más ágil al momento de extraer y solicitar la información.
GESTIÓN DE LOG
Un usuario puede ejecutar una acción en el sistema, que representa una actividad dentro
del proceso de negocio.
La acción en el sistema puede desencadenar una operación (INSERT, DELETE, UPDATE) en
la base de datos que contiene los datos actuales, esta se replicará inmediatamente en la
base de datos de históricos. Por esta razón cada instancia de un objeto existente en la
base de datos del sistema está relacionada con una o varias instancias en la base de datos
históricos.
Los eventos se dividen por tipos para disminuir el crecimiento de la información, facilitar
su análisis y mantener la escalabilidad de la solución.
Los eventos más comunes identificados hasta el momento por los autores, y que forman
parte del modelo Son:
Operación: evento que registra los atributos generales relacionados con la estructura del
sistema donde se ejecutó la acción y a qué actividad y proceso de negocio responde.
Incluye, además, información sobre quién la ejecutó, en qué estructura de la jerarquía y
desde que dirección IP.
Base de datos: está encargado de registrar los atributos relacionados con el nivel de base
de datos. Se ejecuta si una acción realiza alguna operación en la base de datos.
Integración: se refiere al que se ejecuta si, como resultado de una acción en el sistema, se
consume un servicio para complementar alguna actividad del negocio.
Rendimiento: es el que se activa si se quiere registrar información relacionada con el

consumo de memoria, tiempo de respuesta y demás parámetros relacionados con la
acción ejecutada.
Notificación: se ejecuta como resultado de reglas definidas que traen consigo el envío de
una alerta o aviso. Las notificaciones se activan si se ejecuta una acción que contenga
alguna de ellas y pueden enviarse por correo, teléfono, sistema, entre otras vías.
Validación: se desencadena en el momento que se activa la validación de una acción

ejecutada en el sistema. Se establecen con el fin de regular la ejecución de ciertas
acciones a través de condiciones. De este tipo de evento se registra la validación
ejecutada y si fructificó o no. En caso que no fructifique se incluye la justificación del
resultado.
Acceso: el que se activa en el momento que se ejecuta o se trata de ejecutar una acción
no autorizada en el sistema. Registra información relacionada con la violación para
identificar brechas de seguridad y posibles responsables.
Error: es el que se desencadena producto de un error en la ejecución de una acción del

sistema. Pueden generarse por un error en la codificación o en las tecnologías que
soportan el sistema. Mayormente son errores no controlados; de ellos se registra
información relacionada con su origen.
Excepciones: los que se producen como consecuencia de la violación de reglas impuestas

por el negocio o por las restricciones tecnologías del entorno.
Todos los registros de eventos descritos anteriormente debe proveer la información

necesaria para realizar análisis sobre el funcionamiento del Sistema de Información y
sobre los procesos de negocio que él informatiza. Con este objetivo, la arquitectura de
datos del modelo propuesto incorpora una nueva fuente de datos denominada Logs de
Procesos y Sistemas
Todos los análisis enfocados en la mejora del SI, están soportados por diferentes reportes,
los que pueden estar encaminados a Detectar, Predecir, Evaluar o Recomendar aspectos
relacionados con el Sistema de información:
Detectar: se logra a partir de los análisis que se realizan con el fin de detectar violaciones,
errores, inconsistencias, entre otros aspectos negativos o positivos en el sistema.
Predecir: se logra a través del análisis de los diferentes eventos desencadenados en el

sistema. Se puede predecir el comportamiento del sistema bajo ciertos parámetros;
ejemplo: el rendimiento con una cantidad de operaciones ejecutadas concurrentemente.
Evaluar: constituye un aspecto importante para determinar la robustez, seguridad y

escalabilidad del sistema en los diferentes entornos. Los reportes que se obtienen de la
base de datos LOGS de Procesos y Sistemas permiten evaluar la criticidad de las fallas,
servicios, violaciones, entre otros aspectos que se originaron en el sistema.
Recomendar: basado en los análisis anteriores se pueden recomendar cambios en el

sistema para erradicar las violaciones, fallas o posibles limitaciones futuras. No solo se
recomiendan acciones para solucionar eventos que tuvieron lugar; también es posible
recomendar acciones para lograr mejores resultados en un flujo en ejecución.
CONCLUSIÓN
Las soluciones de registro y análisis de eventos constituyen una herramienta esencial para
llevar un control estricto de las acciones que se ejecutan en los Sistemas de Información,
todo ese proceso sirve para detectar o predecir violaciones de seguridad, cuellos de
botella, así como problemas de rendimiento producto de un mal diseño e implementación
del sistema o limitaciones de las tecnologías.

Ensayo Herramientas Siem

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ensayo Herramientas Siem

Cargado por

Copyright:

Formatos disponibles

ENSAYO HERRAMIENTAS SIEM

Fecha: 12/11/2017 SENA

Especialización en Seguridad de Redes de Computadores

Código Ficha: 1500057