Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Integrantes:
Luis Aguilar
María de los Ángeles Carrión
José Pardo
José Daniel Sánchez.
José Luis Moreno
SIEM
El término SIEM (Security Information and Event Management) fue acuñado en 2005 en la consultora
Gartner y viene de la conjunción de dos términos que algunos usan indistintamente y otros procuran
separar: SIM (Security Information Management) y SEM (Security Event Management), ambos para
referirse al análisis en tiempo real de alertas de seguridad generadas en la red o en aplicaciones.
Sistemas SIEM
Una vez almacenados los logs, queda ver qué podemos hacer con estas ingentes cantidades de datos. Las
herramientas de administración de logs suelen incluir unos informes sencillos que permiten descubrir
algunos intentos de acceso o problemas, e incluso obtener ciertas estadísticas normalmente prediseñadas,
pero no suelen ser capaces de ir más allá. Ahí es donde entra a jugar el complemento de utilidades de alto
valor añadido (como una capa de tecnología añadida a los gestores de Logs) que los aplicativos SIEM
ofrecen, esencialmente con las siguientes características:
La mayoría de los sistemas SIEM trabajan desplegando agentes de forma jerarquizada por todo el sistema
para recibir eventos generados por:
1. Dispositivos de Usuarios
2. Servidores
3. Equipamiento de red
4. Firewalls, Antivirus o prevención de intrusiones
En otros casos no se instalan agentes en cada sistema que genera logs, y son los propios generadores de
logs los que centralizan la información bien en el servidor SIEM, bien en un servidor syslog
intermedio. En todo caso, la integración de los datos de log de diversas fuentes es esencial, y puede ser un
proceso complejo que implique tanto a la configuración del SIEM como a la gestión de los logs
producidos en cada caso. Empezando desde un nivel básico, un sistema SIEM se basa en reglas
estadísticas para establecer relaciones entre los logs recopilados. En ocasiones se comienzan a filtrar datos
desde el origen, estableciendo qué se envía y qué no a almacenar en la base de datos del SIEM, y aunque
esto tiene el peligro de despreciar información que más adelante pueda ser necesaria, si se hace bien se
disminuye considerablemente el tráfico y el almacenamiento necesario, y por lo tanto el impacto en el
rendimiento general que el sistema ocasiona.
Una vez centralizados los datos, el software de análisis busca las anomalías. Para ayudar a distinguir esas
anomalías es necesario que el SIEM sepa previamente las características y eventos de un sistema bajo
control con eventos normales. La detección de amenazas es un tema complejo que cada sistema SIEM
implementa de una manera y con distintos niveles, y que influye mucho en el coste, porque normalmente
es necesario complementarla con técnicas de “Big data“y algoritmos propios de correlación de datos.