Blog

Nosotros
Soluciones

Capacidades que Sectores

Blog
deben considerarse
Recursos
para la selección de un
Empleo
SIEM Contacto

Posted by
Patricia Chávez, Gerente Técnico on
06 mayo, 2019

Twittear Compartir Me gusta Compartir

He implementado sistemas SIEM en los últimos

11 años de mi vida y siempre los retos han sido
orientados a  ¿Por qué este SIEM y por qué no
otro?,  ¿Realmente  cubre las características de 
un SIEM?, ¿Ayuda a cubrir las necesidades de mi
negocio?, ¿Se encuentra calificado y cumple con
las bondades necesarias de seguridad para ser
un SIEM maduro?

Todas estas preguntas iniciales de los Líderes de

Seguridad y gestión de riesgo que me he
encontrado tienen el común denominador de
cuestionar el éxito de un proyecto SIEM.

Me gustaría hacer énfasis en lo que todo SIEM

debe buscar y esto es la visibilidad, remarcando
Nosotros
que “No podemos proteger lo que no podemos Soluciones
ver” y que todo SIEM debe ayudar a la reacción
temprana ante los incidentes de seguridad, Sectores
llámense ataques, amenazas, mal
funcionamiento de la infraestructura
Blog
o el mal
uso por parte de los propios usuarios. Recursos
En contexto con esto se debe contar con una
Empleo
solución capaz de centralizar la información en
un solo punto y facilitar la identificación, para Contacto
dar seguimiento e incluso obtener una 
retroalimentación y experiencia de nuestras 
posturas de seguridad y/o funcionamiento. 

Sumaría con lo anterior el que deban cumplir

con los retos de las 3 V’s
Volumen|Variedad|Velocidad,  que refiera a las
capacidades de procesamiento de grandes
cantidades de datos, las capacidades de
integración de varios tipos, formatos y fuentes
de datos y la actuación rápida tanto para la
identificación como para la atención y respuesta 
a los incidentes, que permita el análisis, la
correlación, la identificación de patrones,
desviaciones, predicciones para alertamiento.

Nosotros
Soluciones
Sectores
Blog
Recursos
Si bien podemos intentar inventar el hilo negro, Empleo
también podemos retomar la experiencia y las
investigaciones Gartner, recordando Contacto
que
Gartner cita por primera vez el término  “SIEM"
en un reporte de 2005 titulado “Improve IT
Security With Vulnerability Management” y que
en términos lo orienta completamente a la
gestión de eventos y seguridad, y que ya
después de unos años de haber madurado el
concepto, basa su recomendación en tener en
cuenta las Capacidades críticas para su
evaluación, donde recomiendan considerar los
resultados de sus calificaciones para lograr un
efectivo valor de la solución SIEM y la

planificación estratégica basada en los grandes
retos futuros de seguridad y la ciberseguridad,
aprovechando la experiencia pasada, presente y
futura, dictando así que para el 2020 el 75% de
los productos SIEM usarán tecnologías de Big
Data en su núcleo, junto con aprendizaje
automático, para mejorar la detección de
amenazas y mejorar la capacidades de
respuesta a incidentes.

Es importante recordar que por sexto año Nosotros

consecutivo Splunk se ha posicionado como
Líder, ocupando la posición más alta en la Soluciones
Capacidad de ejecución del Cuadrante Gartner
Sectores
por lo que me parece interesante comentar
sobre el producto Splunk Enterprise que es una Blog
solución compuesta, que se entrega como
software y que se puede implementar en las Recursos
instalaciones, en servicios en la nube / IaaS, en
Empleo
modos híbridos y como SaaS a través de Splunk
Cloud en Splunk, cuenta con varias aplicaciones Contacto
Premium entre las que se encuentra Splunk
Enterprise Security (ES), que proporciona las
características principales de SIEM y la madurez
de identificación de amenazas y manejo de
incidentes. Entre los componentes adicionales
incluyen Splunk UBA que amplía las
capacidades de análisis a través de una
biblioteca de análisis basados en el aprendizaje
automático y ahora Splunk Phantom para
abordar las capacidades SOAR.


El nivel de administración de datos y las
capacidades de búsqueda son manejados por
Splunk Enterprise (o Cloud) que incluyen análisis
y paneles de control en tiempo real, alertas,
gestión de incidentes, respuesta automatizada
(respuesta adaptativa), visualizaciones e
informes, permite entornos escalables que se
adapta al crecimiento de toda organización y
consta  de indexadores y cabezas de búsqueda,
así como clientes reenviadores de eventos que
proporcionan la recopilación de eventos y
Nosotros
reenvíos para puntos finales.
Soluciones
Sectores
Blog
Recursos
Empleo
Contacto
Además, ofrece una variedad de aplicaciones
creadas por Splunk y creadas por terceros que
son complementarias para diversos casos de
uso de seguridad, que incluyen Security
Essentials, Stream (para recolectar paquetes de
red), Analytics for Hadoop, Machine Learning
Toolkit y Ransomware y PCI Compliance (ambas
aplicaciones premium).

Gartner identifica diez Capacidades críticas para

un SIEM que ponderan de acuerdo a la
importancia para el monitoreo básico y el

 monitoreo complejo, así como para la detección
avanzada de amenazas, mismos que de acuerdo
a mi experiencia personal me gustaría
detallarles a continuación.

Capacidades críticas con las que debe

contar un SIEM
Nosotros
1.- Arquitectura. 
Soluciones
En esta capacidad Splunk proporciona todas
Sectores
la facilidades para realizar una
implementación de la solución, cuenta con Blog
los procedimientos bien documentados y los
requisitos mínimos a disposición de los
Recursos
usuarios, esta solución es completamente
Empleo
escalable, permite tener los componentes
en un solo equipo dedicado o distribuirlos Contacto
en diversos equipos para ampliar sus
capacidades de procesamiento indexación o
gestión, permite entornos clusterizados que
mejoran la distribución de cargas entre los
componentes de manera balanceada y más
productiva y veloz, esto para entornos de
mayor exigencia de procesamiento o de
gestión, es soportado para cualquier entorno
tanto   físicos como virtuales e incluso
cuentan con un servicio de   alojamiento in
cloud, la arquitectura es diseñable y

adaptable a cualquier crecimiento, en mi
 experiencia esto ha sido un factor
fundamental para el éxito en las
organizaciones que sufren constantes
cambios de infraestructura tecnológica en
poco tiempo ….les suena familiar?

2.- Despliegue, Operaciones y Soporte.

Splunk en esta capacidad brinda toda la

facilidad de operación autodidacta y una Nosotros
vasta documentación para el uso o
resolución a contingencias
Soluciones
con la
plataforma, además de contar con un
Sectores
soporte especializado por parte de A3Sec.
Splunk también cuenta con un Blog
sitio
splunkbase que pone a disposición la
descarga de más de 2.000
Recursos
aplicaciones
gratuitas, con esto los clientes se han vuelto
Empleo
completamente autodidactas y
autosuficientes en sus procesos Contacto
de
desarrollo, adaptación de indicadores y de
investigación. Lo que nos ha permitido
desarrollar aplicaciones para cubrir
necesidades específicas de cada negocio,
además es siempre útil para nosotros y
mucho más para los clientes, que exista un
desarrollo completamente personalizado al
negocio que garantice el éxito de su SIEM.

3.- Administración de Datos y Logs. 

En este contexto Splunk es capaz de
recolectar logs y datos de casi toda fuente
que la genere, se basa en el principio de: “Si
se puede leer, se puede integrar”.

Nosotros

En mi experiencia personal con Splunk no Soluciones

he tenido ninguna limitación de integración,
Sectores
me ha permitido colectar de casi todos los
métodos y protocolos soportados tanto TCP Blog
o UDP e incluso lectura de Traps SNMP,
Syslogs, lectura archivos Recursos
específicos
o
auditorías de diversos sistemas operativos
Empleo
con su reenviador Universal Forwarder, así
como colección de Bases de datos mediante Contacto
app DBConnect e incluso vía Stream para
aquellos que no quieren afectar su
performance o habilitar su auditoría, o
incluso solo para los que quiere leer tráfico,
los datos de DevOps e Internet de las cosas
vía API de Event Collector, y nos hemos
atrevido incluso a leer los hashtags de las
redes sociales para la identificación y
percepciones sociales de sus clientes de
negocio.


 Además Splunk enriquece y contextualiza la
información mediante el uso y carga de
lookups, para la detección de amenazas, el
monitoreo y  cumplimiento.

4.- Monitoreo en tiempo real.

En esta capacidad Splunk cuenta con una

interfaz UI centralizada y administrable que
vive en el componente de Splunk llamado
Nosotros
Cabeza de Búsqueda que es
Soluciones
completamente soportada para
integraciones LDAP, RADIUS o usuarios y Sectores
roles gestionados de manera personalizada,
Blog
su interfaz es fácil, intuitiva y permite el
monitoreo en tiempo real para la detección
Recursos
de amenazas y respuesta a incidentes,
Empleo
permite la creación de indicadores llámese
Dashboards, Vistas, Informes, Alertas con
facilidad de integración y modificación.
Contacto
Splunk cuenta con la App Splunk Enterprise
Security que cuenta con indicadores de
posturas de seguridad que aprovechen la
información contextual cargada como
identidades o listas de activos categorizados
por severidad y las redes de home para
ayudar a los usuarios a identificar y priorizar
los incidentes o alertas para su evaluación.


   Nosotros
5.- Análisis. Soluciones
Splunk cuenta con una gran capacidad de Sectores
análisis de eventos y fuentes de datos que
permite la detección de
Blog
actividades
específicas; desde eventos discretos, hasta
Recursos
comportamientos anómalos. La
metodología de análisis, abarca Empleo
desde
coincidencias en listas blancas, directivas de
correlación, hasta estadísticos básicos o
Contacto
avanzados que aprovechan el aprendizaje
automático o tendencias.

Estas capacidades en mi experiencia son

fundamentales ya que con éstas fácilmente
hemos encontrado la aguja en el pajar
dentro de toda la matrix y que ha permitido
y garantizado el éxito del SIEM en el negocio.

6.- Monitoreo de datos y aplicaciones.


 Este punto busca contar con una buena
capacidad de integración de diversas
aplicaciones y fuentes de datos, así como
con una interfaz para definir formatos de
eventos no compatibles. Lo anterior en mi
experiencia con otros SIEM, era todo un
ritual. Les digo con todo mi corazón que es
algo que deben considerar rigurosamente,
ya que hay muchos SIEM que requieren
muchísimo trabajo de desarrollo de plugins, 
mucho conocimiento y un arduo trabajo
Nosotros
experto detrás de toda configuración, para
Soluciones
lograr la visibilidad de su información. Lo
que lo vuelve muy difícil de administrar, ya Sectores
que las fuentes incluso en cada
actualización sufren muchos
Blog
cambios
incluso de formato y contenido, y el
Recursos
desconocerlos o no considerarlos lo vuelve
no confiable o un proceso Empleo
de
implementación inmortal, sin embargo
Splunk no requiere desarrollo de plugins, ni
Contacto
formatos forzosos de logs, para lograr la
extracción, clasificación o visibilidad de la
información, ésta es uno de los aciertos más
valiosos que yo considero de esta solución.

7.- Amenaza y contexto.

En esta capacidad a considerar Splunk me

ha permitido enriquecer y contextualizar la
información, categorizar incluso los activos

físicos y humanos por criticidad, la
 conectividad y propiedad sobre el entorno
de los usuarios, así como el panorama de
amenazas externas, que en conjunto
desempeñan un papel importante en la
detección, validación y priorización de
eventos detectados que ayudan a evaluar y
analizar el riesgo y el impacto potencial de
un incidente, esto lo he logrado con la
aplicación de Enterprise Security y la App de
PCI, contando con la capacidad de creación
e identificación, basándose en la colección
Nosotros
de fuentes, la clasificación de eventos de
Soluciones
acuerdo al CIM, y reglas de correlación
integradas. Esto ha permitido el éxito de laSectores
detección temprana de incidentes para
nuestros clientes.
Blog

  Recursos

8.- Contexto de usuario y monitoreo. Empleo

Splunk me ha permitido lograr el monitoreo Contacto
de actividad usuaria de las fuentes de
tecnologías tales como Servidores de
Dominio, Aplicaciones hechas en casa, Bases
de Datos, Dispositivos de comunicaciones y
de Seguridad, tales como FW, IPS’s, WAF,
Dispositivos de comunicación etc. y la
capacidad de correlacionar y analizar los
datos de autenticación y alertamiento
oportuno, permitiendo con esto:   informar
las infracciones de políticas y
comportamientos sospechosos, por ejemplo:

 ataques de fuerza bruta, bloqueos y
desbloqueos de cuentas, cuentas
promiscuas, falta de uso en cuentas y
cambios en privilegios y roles, etc. Esto se ha
logrado con un análisis del comportamiento
de la actividad, cabe resaltar que permite
identificar desviaciones contra líneas base o
umbrales predefinidos.

Incluso Splunk ha permitido mediante los

logs internals la creación de una aplicación Nosotros
de automonitoreo de la solución Splunk para
la verificación de la actividad usuaria para Soluciones
identificar el buen o mal uso de la
Sectores
plataforma, esto me ha resultado muy útil
para temas de compliance. Blog
 
Recursos
9.- Administración de incidentes. Empleo
En este contexto Splunk Enterprise me ha Contacto
permitido la configuración de diversas
alertas y la capacidad de asignar y notificar a
usuarios específicos e incluso agregar
acciones automatizadas mediante scripts
como método de atención y respuesta.
Además mediante Splunk Enterprise
Security he logrado integrar flujos de
operación y asignación de incidentes más
formales, donde los incidentes tienen la
capacidad de cambiar el estado y la
asignación a usuarios, las capacidades de

integrarse con sistemas de tickets y la
 capacidad incluso de documentar el
procesos de respuesta.

También es importante mencionar que

Splunk está tratando de enfocar esfuerzos
en el cumplimiento de los retos futuros de
seguridad que refieren a la automatización
de las acciones de respuesta a incidentes
como por ejemplo: deshabilitando las
cuentas de usuario afectadas y bloqueando
o filtrando la conectividad de la red cuandoNosotros
es detectada una alerta, esto lo está
logrando con la adquisición adicional de Soluciones
Pathom ya como SOAR.
Sectores
 
Blog
10.- Herramientas de detección de amenazas.
Recursos
En este contexto me gustaría remarcar que
Empleo
Splunk nos ha permitido crear aplicaciones
personalizadas de seguridad, o implementar Contacto
las aplicaciones premium de Splunk tales
como Enterprise Security como SIEM y/o PCI
para temas de compliance o la inclusión de
aplicaciones con foco de seguridad de
diversas plataformas disponibles
recomendables tales como: UBA, Stream,
Splunk Security Essential, Alert Manager
para la gestión de eventos notables (alertas),
etc.

 

 ¿Quieres conocer cómo Splunk  puede
detectar y controlar ciberataques en tu
empresa? contacta con nuestros
asesores.

¿Te contamos más?

Topics:
Ciberseguridad,
SIEM,
Splunk
Nosotros
Soluciones
Sectores
Blog
Recursos
Empleo
Contacto


Nuestro blog te mantiene
informado

Encuentra lo más novedoso del sector:

Ciberseguridad

Monitorización Nosotros
Soluciones
¡Suscríbete aquí!
Sectores
Email*
Blog
Recursos
País/región*

Please Select Empleo

Contacto
Suscribirse

Post más recientes

Cuadrante Mágico Gartner 2021

El desafío de reinventarse o dejar de existir

Novedades WOCU 0.44

SIEM, centro neurálgico de la ciberseguridad

La cadena de suministros, el nuevo vector de

ataque 
 ¡WOCU en 2020! Las 10 funcionalidades más
destacadas del año

Publicaciones por etiqueta

Ciberseguridad (33)

WOCU (22)

Monitorización (21)

SIEM (8)
Nosotros
A3Sec (5)

Ver todo
Soluciones
Sectores
Blog
Recursos
Empleo
Contacto

  
 

Soluciones

Ciberseguridad
Monitorización

Sectores

Sector Financiero Nosotros

Sector Público
Sector Telco
Soluciones
Sector Servicios
Sectores
Síguenos en redes sociales
Blog
Recursos
Empleo
Conócenos
Contacto
Nosotros

Suscríbete

Suscríbete a nuestro blog y conoce las últimas

tendencias y noticias del sector

Email

Please Select

He leído y acepto la Política de Privacidad de A3Sec


 Contacto |
Politica de seguridad |

Política de privacidad |
Política de cookies

Copyright © 2018 A3Sec. Todos los derechos

reservados

Nosotros
Soluciones
Sectores
Blog
Recursos
Empleo
Contacto