Unidad 6.

Tipos de prestación de servicio y

arquitecturas

I. Introducción y objetivos

II. Modelos

III. Tipos de arquitecturas

IV. Resumen

V. Caso práctico con solución

VI. Lecturas recomendadas

VII. Enlaces de interés

VIII. Glosario

IX. Bibliografía
Lección 1 de 9

I. Introducción y objetivos

1.1. Introducción de la unidad

SIEM permite realizar despliegues diferentes dependiendo de las necesidades de cada momento. 

Una de las principales características de los despliegues de SIEM es que no son estáticos, por lo que
ofrecen una flexibilidad total a la hora de adaptar las soluciones a los problemas de seguridad detectados
sin afectar a la calidad final.

Al final, el tipo de despliegue y sus características concretas dependerán de lo que solicite el cliente en cada
momento. 
Las soluciones SIEM cada vez son más habituales dentro de los entornos corporativos debido al aumento de
amenazas, y, por ende, a la necesidad de aumentar las capacidades de detención. 

En primer lugar, cuando se necesita implementar una solución SIEM dentro de una compañía, hay que tomar
la decisión sobre el modelo de servicio que se va a realizar. Aquí las opciones, como se verá, son
principalmente dos: basarse en un modelo as a service, donde el proveedor del servicio proporciona unos
componentes de la solución across a diferentes clientes, y donde se disfrutan de varias ventajas, entre ellas
la optimización en costes (estas soluciones suelen suponer un desembolso importante), o centrarse en una
solución on premise, donde se adquieren todos los componentes y se despliegan dentro de la
infraestructura. Esta solución proporciona otras ventajas, como la de tener mayor autonomía, y dependiendo
del entorno y el sector de la compañía, incluso facilitando el cumplimiento de diferentes normas. 

Una vez se decide el modelo que seguir, hay que diseñar la arquitectura SIEM. Esta se diseña con base en
diferentes variables, entre las que destacan las siguientes:

La volumetría, ya sea en función de EPS (eventos por segundo) o GB/día (en otras unidades se puede
ver que son mediciones bastante utilizadas).

El cumplimiento de normativas (DSS PCI, ISO 27001, etc.).

La distribución de la red de la compañía (si existen múltiples sedes, es una empresa internacional y
hay presencia en diferentes países, si existen redes segmentadas y de difícil acceso como redes de
cajeros o redes OT…).

Con base en lo anterior se decide tanto si es necesario distribuir los diferentes elementos como si se
precisa la implantación de alta disponibilidad.

C O NT I NU A R
1.2. Objetivos de la unidad

En esta unidad se tratará de identificar los diferentes despliegues que se pueden llevar a cabo con la
mayoría de las tecnologías SIEM. Así: 

1 Conocer los modelos principales de servicio de una solución SIEM.

2 Diferenciar y conocer las ventajas del modelo as a service vs. on premise.

3 Aprender los diferentes tipos de componentes de una solución SIEM.

4 Identificar cuándo es necesario buscar una solución distribuida y cuándo es válida una
solución all-in-one.

5 Conocer la implementación de soluciones en alta disponibilidad.

Lección 2 de 9

II. Modelos

Existen dos tipos de prestación de servicio: on premise y as a service. Aunque cada una de las formas define
una serie de características, estas no son estáticas y, dependiendo de las necesidades, se podrán adaptar
para cumplir los requerimientos deseados. Cabe destacar que la elección de un tipo de prestación de
servicio no afectará a la calidad recibida, sino a las formas, por lo que se dependerá de las necesidades y
requerimientos del cliente para elegir una de ellas.

C O NT I NU A R

2.1. Modelo as a service

Un modelo as a service es aquel en el que el cliente no hace una inversión de hardware, software y personal
para operar la tecnología de SIEM, sino que esta inversión es asumida por el proveedor del servicio
contratado.

En este modelo, las diferentes capas de las que se compone un SIEM están divididas entre la
infraestructura del cliente y la del proveedor. La capa de recolección está desplegada en el lado del cliente y
el resto de las capas (almacenamiento y correlación), en la del proveedor. Como ya se ha indicado
anteriormente, estos modelos no son estáticos y es posible hacer adaptaciones en función de las
necesidades de cada uno de los clientes, lo que también influirá en la localización de estas capas.

 Un punto indispensable para este tipo de prestación de servicio es la necesidad de

establecer mecanismos seguros para el envío de las diferentes fuentes que se van a
integrar entre el cliente y el proveedor. De este modo, la capa de recolección
desplegada en el cliente será capaz de hacer el envío de los eventos de las diferentes
fuentes de forma segura a la plataforma del proveedor.
Si bien se podría decir que esta sería la forma habitual de prestación de servicio, en ocasiones, por
requerimientos del cliente, es posible que sea necesario hacer alguna modificación. Una de estas
excepciones se da cuando, por algún motivo, el cliente requiere un almacenamiento adicional dentro de su
infraestructura. En este caso, se identificarían como capas de almacenamiento y correlación las alojadas en
la infraestructura del proveedor, así como capa de recolección y capa de almacenamiento adicionales las
desplegadas en el lado del cliente.

El modelo de facturación dependerá de cada proveedor, pero, por lo general, se toman las siguientes
variables para dimensionar cada cliente: EPS o GB/día, número de alertas críticas gestionadas y casos de
uso desarrollados.

Las características de este modelo son las siguientes:

Este modelo se caracteriza

por tener una escalabilidad
casi ilimitada, ya que será
Flexibilidad
el proveedor de servicios el
encargado de disponer la
infraestructura necesaria.

1 of 4

Este tipo de modelos

permite que una empresa
 pequeña o mediana pueda
Punto de entrada
iniciar los servicios de
seguridad sin una gran
inversión, pudiendo
identificar el valor aportado

2 of 4

Dado que la mayoría de los

elementos ya existe en la
Rápida prestación de infraestructura del
servicio proveedor, estos
despliegues suelen ser muy
rápidos.

3 of 4

Sin capacidad de consulta
sobre los datos
Como ya se ha indicado,
salvo excepciones, la capa
de almacenamiento queda
en la infraestructura del
proveedor, por lo que el
cliente no podrá consultar
 los datos de forma

4 of 4

C O NT I NU A R

2.1.1. Diagrama

En el siguiente diagrama se pretende mostrar la forma genérica de prestación de servicio en la que el cliente
únicamente debe desplegar la capa de recolección y el resto de capas son alojadas en la parte del proveedor
junto con los profesionales que operarán la plataforma.

El cliente recibirá alertas basadas en las reglas de recolección definidas para las diferentes fuentes
integradas.
Figura 1. Modelo de despliegue as a service.
Fuente: elaboración propia.

C O NT I NU A R
2.2. Modelo On premise
Un despliegue on premise se caracteriza por el hecho de que el cliente dispone de una herramienta SIEM
desplegada dentro de su infraestructura. A diferencia de la otra forma de prestación de servicio (as a
service), todas las capas de las que se compone una herramienta SIEM quedan alojadas dentro de la
infraestructura del cliente, pero, como se verá más adelante, también existen excepciones para este
modelo.

Al igual que en el modelo anterior, para prestar un servicio no solo es necesario disponer de una herramienta
SIEM para la definición de los diferentes controles y reglas de correlación, sino que se deberá disponer de
personal cualificado para operar dicha herramienta y las alertas generadas. Aunque por norma general un
cliente que tiene un despliegue on premise suele disponer de dicho personal, en muchas ocasiones esta
parte es asumida por un proveedor externo. En este caso existen dos fórmulas: gestión remota o personal
desplazado en las instalaciones del cliente. Como en apartados anteriores, la elección dependerá de las
políticas y los requerimientos del cliente. 

Las características de este método son las siguientes:

Todas las capas de las que

se compone un SIEM están
Despliegue local del SIEM
desplegadas en la
infraestructura del cliente.

1 of 4
 El cliente deberá asumir los
costes de la tecnología
desplegada, así como de
Alta inversión
su mantenimiento,
administración y
explotación.

2 of 4

En el caso de que sea

necesario un despliegue
inicial de la herramienta
SIEM, los tiempos
Lenta puesta en servicio
dependerán de los
recursos del cliente y, por
lo general, serán más
largos que en la modalidad

3 of 4

La herramienta desplegada
deberá dimensionarse
según las necesidades del

C i i li i d
 Crecimiento limitado
cliente, y, en caso de
aumentar los
requerimientos, el cliente
deberá hacer frente a

4 of 4

C O NT I NU A R

2.2.1. Diagrama

En el siguiente diagrama se muestra el modo de prestación de servicio en el que el cliente dispone de toda la
tecnología desplegada y es un proveedor de forma remota el que gestiona dicha solución.
Figura 2. Modelo de despliegue on premise.
Fuente: elaboración propia.
Lección 3 de 9

III. Tipos de arquitecturas

En este apartado se tratan las diferentes arquitecturas que se pueden realizar en la mayoría de las
tecnologías SIEM del mercado. La elección de cada una de las arquitecturas dependerá de las necesidades
o requerimientos, así como de los recursos del cliente. Como se verá más adelante, las diferentes
arquitecturas se diferenciarán en el grado de tolerancia a fallos y el aumento de rendimiento entre las
diferentes capas (recolección/almacenamiento/correlación). 

Muchas de las tecnologías SIEM permiten la utilización de plataformas de virtualización, aunque este tipo de
despliegue penaliza el rendimiento de la solución.

Para mostrar gráficamente cada una de las arquitecturas, se utilizarán las tecnologías QRadar y Splunk.
Estos son los elementos por capas de las diferentes tecnologías:

Capas QRadar Splunk

Correlación. Console/All-in-one. Search Head.

Almacenamiento. Event Processor. Indexer.

Heavy Forwarder/Universal
Recolección. Event Collector.
Forwarder.

Tabla 1. Capas de un SIEM en QRadar y Splunk.

Fuente: elaboración propia.
 C O NT I NU A R

3.1. ‘All-in-one’
Esta arquitectura se identifica como aquella en la que todas las capas de las que se compone un SIEM se
alojan en un mismo servidor. Se suele utilizar para entornos pequeños o de preproducción, ya que las
capacidades son limitadas, al estar supeditada a las características hardware sobre las que se desplegará.

Al no tener ningún tipo de replicación o redundancia, cualquier fallo en alguna de las capas hace que la
solución deje de funcionar. 

Características:
–

Bajo coste.

Baja tolerancia a fallos.

 Figura 3. Arquitectura all-in-one.
 Fuente: elaboración propia. 

C O NT I NU A R

3.2. Distribuida
Una arquitectura distribuida se caracteriza por dividir las diferentes capas de las que se compone una
tecnología SIEM en varios servidores, con el objetivo de aumentar las capacidades de
recolección/almacenamiento o correlación. Es el primer paso que se debe hacer de cara a crear
arquitecturas tolerantes a fallos. Al igual que pasaba con la arquitectura all-in-one, esta no tiene ningún tipo
de replicación o tolerancia a fallos, por lo que cualquier fallo en alguna de las capas hace que se pierdan las
funcionalidades de la solución. Como punto diferenciador, se debe indicar que, en caso de fallo en alguna de
las capas, es posible que no haya pérdida de información, a diferencia la solución all-in-one.

Este tipo de arquitecturas suele ser elegido para aquellas implementaciones en las que en un corto/medio
plazo se pretende aumentar las capacidades de la solución añadiendo algún tipo de replicación o tolerancia
a fallos en alguna de las capas de almacenamiento/correlación.

Características:
–

Baja tolerancia a fallos.

Mejora de performance.

Separación de funcionalidades.
 Figura 4. Arquitectura distribuida.
 Fuente: elaboración propia. 

C O NT I NU A R

3.3. HA en capa de almacenamiento

Este tipo de arquitectura se caracteriza por tener alta disponibilidad en la capa de almacenamiento. Es la
siguiente evolución de una arquitectura distribuida añadiendo tolerancia a fallos en la capa de
almacenamiento, gracias a lo cual, en caso de pérdida de uno de los nodos de almacenamiento, no hay
pérdida de la información reportada al SIEM. Sin embargo, en caso de fallo en la capa de correlación, habrá
interrupción de las alertas configuradas. El despliegue de este tipo de arquitecturas añade costes debidos a
la necesidad de incluir más elementos de este (hardware o software).

Características:
–

Media tolerancia a fallos.

Mejora de performance.

Separación de funcionalidades.

Aumento de costes.
 Figura 5. Ejemplo de HA en capa de almacenamiento.
 Fuente: elaboración propia. 

C O NT I NU A R

3.4. HA en capa de almacenamiento y correlación

Esta es la arquitectura más compleja y la que añade alta disponibilidad tanto en la capa de correlación como
de almacenamiento. Gracias a esta evolución, en caso de pérdida de alguno de los nodos, no se producirá
pérdida de servicio. Al igual que en el apartado anterior, la creación de este tipo de arquitecturas aumenta los
costes por los requerimientos de hardware o software. El despliegue de este tipo de arquitectura suele estar
asociado a entornos críticos o con requerimientos regulatorios que garanticen la estabilidad de la solución
en caso de desastre.

Características:
–

Alta tolerancia a fallos.

Mejora de performance.

Separación de funcionalidades.

Aumento de costes.
 Figura 6. Arquitecturas con alta disponibilidad en correlación y almacenamiento.
 Fuente: elaboración propia. 

Ejercicio práctico sobre dimensionamiento y arquitecturas SIEM  


  0:00 / 4:29 1x 
Lección 4 de 9

IV. Resumen

Repasa los conocimientos adquiridos en la unidad

En esta unidad se han identificado los diferentes despliegues que se pueden llevar a cabo con la mayoría
de las tecnologías SIEM: on premise y as a service. 
El modelo on premise implica que el cliente dispone de una herramienta SIEM desplegada dentro de su
infraestructura. En este modelo, se puede diferenciar entre la gestión remota o personal desplazado en
las instalaciones del cliente. 

Dentro del modelo on premise se han estudiado las características y se ha visto un diagrama de
prestación del servicio con el fin de comprenderlo mejor.

Por otro lado, se ha apuntado que la inversión es más alta, al ser necesarios más componentes, y la
puesta en marcha es más lenta, pero, por el contrario, se dispone de un mayor control que si se delega
parte de la infraestructura a un tercero; por esta razón hay entornos/sectores donde esta opción es la
más común.
En cuanto al modelo as a service, es el caso en el que la capa de recolección está desplegada en el lado
del cliente y el resto de las capas, en el del proveedor.

También se han estudiado sus características principales y se ha repasado el diagrama que muestra
este tipo de prestación de servicio.

Para este modelo, hay que resaltar que las ventajas radican en que la velocidad de despliegue es mayor,
al no ser necesario desarrollar todos los componentes, y a nivel de costes es mucho más eficiente,
delegando el peso de la administración en un grupo experto. Como principales desventajas está el no
tener el control total del entorno.
Por último, se han estudiado las diferentes arquitecturas que se podrán realizar en la mayoría de las
tecnologías SIEM del mercado, así como sus características. Entre ellas, all-in-one, distribuida y HA en
capa de almacenamiento.
Lección 5 de 9

V. Caso práctico con solución

Aplica los conocimientos adquiridos en esta unidad

ENUNCIADO

Una compañía necesita urgentemente la implantación de una solución SIEM. Por funcionalidades, la
solución elegida será QRadar. Como experto en tecnologías SIEM te piden que diseñes la solución con
base en sus necesidades y en qué modalidad de servicio sería mejor. 
REQUISITOS

Los requisitos son los siguientes: 

La volumetría no es alta, alrededor de 1500 EPS.

La compañía se divide en una sede central en Madrid y varias sedes que también están en el
alcance. Dichas sedes son las siguientes:

a. Ciudad Real.

b. Santander.

c. Valencia.

Por normativa interna, los datos sobre la auditoría de los diferentes sistemas deben ser
almacenados en la sede central. 

En cada sede existe un CPD y un equipo técnico que podrá realizar el enrackado de las máquinas.

No se dispone actualmente de un equipo de analistas de seguridad. 

Necesidad de poder ver los datos en cualquier momento.

Figura 1. Sedes del caso práctico.

Fuente: elaboración propia.
PREGUNTAS

1. ¿Cuál es el modelo que más se adapta a sus necesidades? 

2. ¿Es mejor una solución all-in-one o una distribuida?

VER SOLUCIÓN
SOLUCIÓN

1. ¿Cuál es el modelo que más se adapta a sus necesidades?

Con base en los requisitos, y, sobre todo, el que indica que quieren almacenar los datos de forma
local, y en las diferentes sedes sobre las que hay que recoger la información, la opción que más se
ajustaría a sus necesidades es la de on premise.

2. ¿Es mejor una solución all-in-one o una distribuida?

Para este caso, si bien el volumen de eventos no es alto, un all-in-one puede procesarlo sin
problema. La existencia de diferentes sedes que deben de ser monitorizadas como parte del
alcance fuerza a disponer de diferentes event collectors en cada una de las sedes, facilitando de
esta forma la comunicación entre diferentes sedes.

Con esta aproximación únicamente es necesario habilitar la comunicación entre dos componentes,
facilitando la segmentación de red actual.

El diagrama de arquitectura quedaría de la siguiente forma.

Figura 2. Diagrama de arquitectura final.

Fuente: elaboración propia.
Lección 6 de 9

VI. Lecturas recomendadas

McPherson, R.; Miyamoto, I.; Martin, J.; Talabis, M. Information Security Analytics: Finding
Security Insights, Patterns, and Anomalies. Waltham: Syngress; 2014.

Murphy, J. Security Information and Event Management SIEM Implementation. CreateSpace

Independent Publishing Platform; 2017.
Lección 7 de 9

VII. Enlaces de interés

IBM Security QRadar

Administration Guide. IBM; s. f.

IR AL SITIO WEB
Lección 8 de 9

VIII. Glosario

El glosario contiene términos destacados para la

comprensión de la unidad

Arquitectura all-in-one
–
Arquitectura que se identifica como aquella en la que todas las capas de las que se compone un SIEM se
alojan en un mismo servidor. 
Arquitectura distribuida
–
Arquitectura que se caracteriza por dividir las diferentes capas de las que se compone una tecnología SIEM
en varios servidores, con el objetivo de aumentar las capacidades de recolección/almacenamiento o
correlación. 

Arquitectura HA en capa de almacenamiento

–
Arquitectura que se caracteriza por tener alta disponibilidad en la capa de almacenamiento; se trata de la
evolución de una arquitectura distribuida añadiendo tolerancia a fallos en la capa de almacenamiento,
gracias a lo cual, en caso de pérdida de uno de los nodos de almacenamiento, no hay pérdida de la
información reportada al SIEM.

Arquitectura HA en capa de almacenamiento y correlación

–
Arquitectura que añade alta disponibilidad tanto en la capa de correlación como en la de almacenamiento,
dando lugar, en caso de pérdida de alguno de los nodos, a la no pérdida del servicio. 

Despliegue on premise
–
Se caracteriza por que el cliente dispone de una herramienta SIEM desplegada dentro de su infraestructura.

Modelo as a service
–
Aquel en el que el cliente no hace una inversión de hardware, software y personal para operar la tecnología
de SIEM, sino que esta inversión es asumida por el proveedor del servicio contratado.
Lección 9 de 9

IX. Bibliografía

“Distributed Deployment Manual”. Splunk; s. f.

"IBM Security QRadar. High Availability Guide". IBM; s. f.