TRABAJO GRUPAL 1

Integrantes:
 Luis Aguilar
 María de los Ángeles Carrión
 José Pardo
 José Daniel Sánchez.
 José Luis Moreno

SIEM

El término SIEM (Security Information and Event Management) fue acuñado en 2005 en la consultora
Gartner y viene de la conjunción de dos términos que algunos usan indistintamente y otros procuran
separar: SIM (Security Information Management) y SEM (Security Event Management), ambos para
referirse al análisis en tiempo real de alertas de seguridad generadas en la red o en aplicaciones.
Sistemas SIEM
Una vez almacenados los logs, queda ver qué podemos hacer con estas ingentes cantidades de datos. Las
herramientas de administración de logs suelen incluir unos informes sencillos que permiten descubrir
algunos intentos de acceso o problemas, e incluso obtener ciertas estadísticas normalmente prediseñadas,
pero no suelen ser capaces de ir más allá. Ahí es donde entra a jugar el complemento de utilidades de alto
valor añadido (como una capa de tecnología añadida a los gestores de Logs) que los aplicativos SIEM
ofrecen, esencialmente con las siguientes características:

 Posibilidad de analizar grandes volúmenes de datos, incluso de datos no asociados a eventos

concretos. Se llega a usar plataformas big data, como Apache Hadoop, llegando a la capacidad de
análisis de datos y alertas en tiempo real (o casi real), usando técnicas como:
1. Agregación desde múltiples orígenes de datos
2. Correlación
3. Retención
4. Alertas en tiempo real mediante una pantalla de soporte y/o envíos de email o mensajería.

 Focalización y selección específica de eventos a estudiar. Por ejemplo:

Aplicaciones para monitorizar el acceso y la identificación. (por ejemplo, la administración de
accesos y privilegios en el Directorio Activo).
1. Administración de vulnerabilidades y cumplimiento de políticas de seguridad establecidas.
 2. Sistemas operativos (cambios en la configuración de los sistemas).
3. Bases de datos (con configuración auxiliar en el sistema de base de datos).
4. Logs de aplicativos (bajo los estándares soportados, generalmente syslog).
5. Datos de amenazas externas.

 Informes y gráficas clarificadores en un tablero digital

 Cumplimiento de estándares e informes asociados para que sea sencillo obtener indicadores e
informes para los sistemas de seguridad y su auditoría.
 Análisis forense. Gracias a la retención y correlación de datos podemos realizar estudios forenses
acerca de incidentes concretos, y preparar el sistema para futuras vulnerabilidades de forma
preventiva.
 Capacidad de respuesta a incidentes.

La mayoría de los sistemas SIEM trabajan desplegando agentes de forma jerarquizada por todo el sistema
para recibir eventos generados por:
1. Dispositivos de Usuarios
2. Servidores
3. Equipamiento de red
4. Firewalls, Antivirus o prevención de intrusiones
En otros casos no se instalan agentes en cada sistema que genera logs, y son los propios generadores de
logs los que centralizan la información bien en el servidor SIEM, bien en un servidor syslog
intermedio. En todo caso, la integración de los datos de log de diversas fuentes es esencial, y puede ser un
proceso complejo que implique tanto a la configuración del SIEM como a la gestión de los logs
producidos en cada caso. Empezando desde un nivel básico, un sistema SIEM se basa en reglas
estadísticas para establecer relaciones entre los logs recopilados. En ocasiones se comienzan a filtrar datos
desde el origen, estableciendo qué se envía y qué no a almacenar en la base de datos del SIEM, y aunque
esto tiene el peligro de despreciar información que más adelante pueda ser necesaria,  si se hace bien se
disminuye considerablemente el tráfico y el almacenamiento necesario, y por lo tanto el impacto en el
rendimiento general que el sistema ocasiona.
Una vez centralizados los datos, el software de análisis busca las anomalías. Para ayudar a distinguir esas
anomalías es necesario que el SIEM sepa previamente las características y eventos de un sistema bajo
control con eventos normales. La detección de amenazas es un tema complejo que cada sistema SIEM
implementa de una manera y con distintos niveles, y que influye mucho en el coste, porque normalmente
es necesario complementarla con técnicas de “Big data“y algoritmos propios de correlación de datos.

Mas Características de funcionamiento de los SIEMs

Los SIEM posibilitan la detección de incidentes que de otra manera pasarían desapercibidos. Por
ejemplo, mientras que un IPS de la red puede detectar parte de un ataque y el sistema operativo de un
portátil puede detectar otra parte, un SIEM puede determinar el intento de instalar un botnet en varios
servidores desde un portátil infectado por un malware. Algunos SIEMs tienen cierta habilidad para parar
los ataques. Incrementa la eficiencia en la lucha contra los incidentes, debido fundamentalmente a
disponer de toda la información relativa al incidente de forma inmediata.
Influencia del Costo de un Sistema SIEM
1. La disponibilidad de técnicas avanzadas de análisis de amenazas y de informes.
2. La capacidad de integración automática con los principales servidores y dispositivos (logs de
diversas fuentes esenciales), sobre todo en lo relativo a la respuesta a incidentes.
3. El que estén asociados o no a un dispositivo en red o a una arquitectura específica.
4. La posibilidad de escalar de un sistema ligero a uno cada vez más complejo.
5. La administración del sistema, sobre todo si el SIEM se utiliza para detectar y combatir
incidentes, dado que requiere de una optimización y monitorización constante.   
Pasos para implementar un caso de uso a controlar por un sistema SIEM
En general, los pasos principales para poner en marcha un caso de uso dentro de un sistema SIEM en
marcha pueden variar levemente de una organización a otra en su modo de plantearlos, pero
esencialmente son los siguientes:
1. Recopilar la información de autenticación de los usuarios en todos los sistemas implicados. Quien
puede acceder a qué y por qué relativo a la solución a monitorizar. 
2. Preparar una lista de sistemas que generan datos para el caso de uso: Servidores, concentradores
VPN, dispositivos de red…
3. Configurar los logs de estos sistemas para que pueden ser recopilados por el SIEM.
4. Configurar el sistema SIEM para que recoja los datos de los usuarios y sistemas implicados,
examinando las soluciones que tenga pre-implementadas para ver que se adapta con menos
modificaciones.
5. Definir los procesos de operación que sean necesarios, por ejemplo, para suspender o deshabilitar
cuentas de usuario acorde a eventos de seguridad, o para generar alarmas.
6. Comprobar las reglas establecidas, simulando problemas que generen informes, alarmas y sean
reconocibles como respuesta a incidentes.