Documentos de Académico
Documentos de Profesional
Documentos de Cultura
I. Introducción y objetivos
II. Modelos
IV. Resumen
VIII. Glosario
IX. Bibliografía
Lección 1 de 9
I. Introducción y objetivos
SIEM permite realizar despliegues diferentes dependiendo de las necesidades de cada momento.
Una de las principales características de los despliegues de SIEM es que no son estáticos, por lo que
ofrecen una flexibilidad total a la hora de adaptar las soluciones a los problemas de seguridad detectados
sin afectar a la calidad final.
Al final, el tipo de despliegue y sus características concretas dependerán de lo que solicite el cliente en cada
momento.
Las soluciones SIEM cada vez son más habituales dentro de los entornos corporativos debido al aumento de
amenazas, y, por ende, a la necesidad de aumentar las capacidades de detención.
En primer lugar, cuando se necesita implementar una solución SIEM dentro de una compañía, hay que tomar
la decisión sobre el modelo de servicio que se va a realizar. Aquí las opciones, como se verá, son
principalmente dos: basarse en un modelo as a service, donde el proveedor del servicio proporciona unos
componentes de la solución across a diferentes clientes, y donde se disfrutan de varias ventajas, entre ellas
la optimización en costes (estas soluciones suelen suponer un desembolso importante), o centrarse en una
solución on premise, donde se adquieren todos los componentes y se despliegan dentro de la
infraestructura. Esta solución proporciona otras ventajas, como la de tener mayor autonomía, y dependiendo
del entorno y el sector de la compañía, incluso facilitando el cumplimiento de diferentes normas.
Una vez se decide el modelo que seguir, hay que diseñar la arquitectura SIEM. Esta se diseña con base en
diferentes variables, entre las que destacan las siguientes:
La volumetría, ya sea en función de EPS (eventos por segundo) o GB/día (en otras unidades se puede
ver que son mediciones bastante utilizadas).
La distribución de la red de la compañía (si existen múltiples sedes, es una empresa internacional y
hay presencia en diferentes países, si existen redes segmentadas y de difícil acceso como redes de
cajeros o redes OT…).
Con base en lo anterior se decide tanto si es necesario distribuir los diferentes elementos como si se
precisa la implantación de alta disponibilidad.
C O NT I NU A R
1.2. Objetivos de la unidad
En esta unidad se tratará de identificar los diferentes despliegues que se pueden llevar a cabo con la
mayoría de las tecnologías SIEM. Así:
4 Identificar cuándo es necesario buscar una solución distribuida y cuándo es válida una
solución all-in-one.
II. Modelos
Existen dos tipos de prestación de servicio: on premise y as a service. Aunque cada una de las formas define
una serie de características, estas no son estáticas y, dependiendo de las necesidades, se podrán adaptar
para cumplir los requerimientos deseados. Cabe destacar que la elección de un tipo de prestación de
servicio no afectará a la calidad recibida, sino a las formas, por lo que se dependerá de las necesidades y
requerimientos del cliente para elegir una de ellas.
C O NT I NU A R
En este modelo, las diferentes capas de las que se compone un SIEM están divididas entre la
infraestructura del cliente y la del proveedor. La capa de recolección está desplegada en el lado del cliente y
el resto de las capas (almacenamiento y correlación), en la del proveedor. Como ya se ha indicado
anteriormente, estos modelos no son estáticos y es posible hacer adaptaciones en función de las
necesidades de cada uno de los clientes, lo que también influirá en la localización de estas capas.
El modelo de facturación dependerá de cada proveedor, pero, por lo general, se toman las siguientes
variables para dimensionar cada cliente: EPS o GB/día, número de alertas críticas gestionadas y casos de
uso desarrollados.
1 of 4
2 of 4
3 of 4
Como ya se ha indicado,
salvo excepciones, la capa
de almacenamiento queda
Sin capacidad de consulta en la infraestructura del
sobre los datos proveedor, por lo que el
cliente no podrá consultar
los datos de forma
4 of 4
C O NT I NU A R
2.1.1. Diagrama
En el siguiente diagrama se pretende mostrar la forma genérica de prestación de servicio en la que el cliente
únicamente debe desplegar la capa de recolección y el resto de capas son alojadas en la parte del proveedor
junto con los profesionales que operarán la plataforma.
El cliente recibirá alertas basadas en las reglas de recolección definidas para las diferentes fuentes
integradas.
Figura 1. Modelo de despliegue as a service.
Fuente: elaboración propia.
C O NT I NU A R
2.2. Modelo On premise
Un despliegue on premise se caracteriza por el hecho de que el cliente dispone de una herramienta SIEM
desplegada dentro de su infraestructura. A diferencia de la otra forma de prestación de servicio (as a
service), todas las capas de las que se compone una herramienta SIEM quedan alojadas dentro de la
infraestructura del cliente, pero, como se verá más adelante, también existen excepciones para este
modelo.
Al igual que en el modelo anterior, para prestar un servicio no solo es necesario disponer de una herramienta
SIEM para la definición de los diferentes controles y reglas de correlación, sino que se deberá disponer de
personal cualificado para operar dicha herramienta y las alertas generadas. Aunque por norma general un
cliente que tiene un despliegue on premise suele disponer de dicho personal, en muchas ocasiones esta
parte es asumida por un proveedor externo. En este caso existen dos fórmulas: gestión remota o personal
desplazado en las instalaciones del cliente. Como en apartados anteriores, la elección dependerá de las
políticas y los requerimientos del cliente.
1 of 4
El cliente deberá asumir los
costes de la tecnología
desplegada, así como de
Alta inversión
su mantenimiento,
administración y
explotación.
2 of 4
3 of 4
La herramienta desplegada
deberá dimensionarse
según las necesidades del
C i i li i d
Crecimiento limitado
cliente, y, en caso de
aumentar los
requerimientos, el cliente
deberá hacer frente a
4 of 4
C O NT I NU A R
2.2.1. Diagrama
En el siguiente diagrama se muestra el modo de prestación de servicio en el que el cliente dispone de toda la
tecnología desplegada y es un proveedor de forma remota el que gestiona dicha solución.
Figura 2. Modelo de despliegue on premise.
Fuente: elaboración propia.
Lección 3 de 9
En este apartado se tratan las diferentes arquitecturas que se pueden realizar en la mayoría de las
tecnologías SIEM del mercado. La elección de cada una de las arquitecturas dependerá de las necesidades
o requerimientos, así como de los recursos del cliente. Como se verá más adelante, las diferentes
arquitecturas se diferenciarán en el grado de tolerancia a fallos y el aumento de rendimiento entre las
diferentes capas (recolección/almacenamiento/correlación).
Muchas de las tecnologías SIEM permiten la utilización de plataformas de virtualización, aunque este tipo de
despliegue penaliza el rendimiento de la solución.
Para mostrar gráficamente cada una de las arquitecturas, se utilizarán las tecnologías QRadar y Splunk.
Estos son los elementos por capas de las diferentes tecnologías:
Heavy Forwarder/Universal
Recolección. Event Collector.
Forwarder.
3.1. ‘All-in-one’
Esta arquitectura se identifica como aquella en la que todas las capas de las que se compone un SIEM se
alojan en un mismo servidor. Se suele utilizar para entornos pequeños o de preproducción, ya que las
capacidades son limitadas, al estar supeditada a las características hardware sobre las que se desplegará.
Al no tener ningún tipo de replicación o redundancia, cualquier fallo en alguna de las capas hace que la
solución deje de funcionar.
Características:
–
Bajo coste.
C O NT I NU A R
3.2. Distribuida
Una arquitectura distribuida se caracteriza por dividir las diferentes capas de las que se compone una
tecnología SIEM en varios servidores, con el objetivo de aumentar las capacidades de
recolección/almacenamiento o correlación. Es el primer paso que se debe hacer de cara a crear
arquitecturas tolerantes a fallos. Al igual que pasaba con la arquitectura all-in-one, esta no tiene ningún tipo
de replicación o tolerancia a fallos, por lo que cualquier fallo en alguna de las capas hace que se pierdan las
funcionalidades de la solución. Como punto diferenciador, se debe indicar que, en caso de fallo en alguna de
las capas, es posible que no haya pérdida de información, a diferencia la solución all-in-one.
Este tipo de arquitecturas suele ser elegido para aquellas implementaciones en las que en un corto/medio
plazo se pretende aumentar las capacidades de la solución añadiendo algún tipo de replicación o tolerancia
a fallos en alguna de las capas de almacenamiento/correlación.
Características:
–
Mejora de performance.
Separación de funcionalidades.
Figura 4. Arquitectura distribuida.
Fuente: elaboración propia.
C O NT I NU A R
Características:
–
Mejora de performance.
Separación de funcionalidades.
Aumento de costes.
Figura 5. Ejemplo de HA en capa de almacenamiento.
Fuente: elaboración propia.
C O NT I NU A R
Características:
–
Mejora de performance.
Separación de funcionalidades.
Aumento de costes.
Figura 6. Arquitecturas con alta disponibilidad en correlación y almacenamiento.
Fuente: elaboración propia.
0:00 / 4:29 1x
Lección 4 de 9
IV. Resumen
En esta unidad se han identificado los diferentes despliegues que se pueden llevar a cabo con la mayoría
de las tecnologías SIEM: on premise y as a service.
El modelo on premise implica que el cliente dispone de una herramienta SIEM desplegada dentro de su
infraestructura. En este modelo, se puede diferenciar entre la gestión remota o personal desplazado en
las instalaciones del cliente.
Dentro del modelo on premise se han estudiado las características y se ha visto un diagrama de
prestación del servicio con el fin de comprenderlo mejor.
Por otro lado, se ha apuntado que la inversión es más alta, al ser necesarios más componentes, y la
puesta en marcha es más lenta, pero, por el contrario, se dispone de un mayor control que si se delega
parte de la infraestructura a un tercero; por esta razón hay entornos/sectores donde esta opción es la
más común.
En cuanto al modelo as a service, es el caso en el que la capa de recolección está desplegada en el lado
del cliente y el resto de las capas, en el del proveedor.
También se han estudiado sus características principales y se ha repasado el diagrama que muestra
este tipo de prestación de servicio.
Para este modelo, hay que resaltar que las ventajas radican en que la velocidad de despliegue es mayor,
al no ser necesario desarrollar todos los componentes, y a nivel de costes es mucho más eficiente,
delegando el peso de la administración en un grupo experto. Como principales desventajas está el no
tener el control total del entorno.
Por último, se han estudiado las diferentes arquitecturas que se podrán realizar en la mayoría de las
tecnologías SIEM del mercado, así como sus características. Entre ellas, all-in-one, distribuida y HA en
capa de almacenamiento.
Lección 5 de 9
ENUNCIADO
Una compañía necesita urgentemente la implantación de una solución SIEM. Por funcionalidades, la
solución elegida será QRadar. Como experto en tecnologías SIEM te piden que diseñes la solución con
base en sus necesidades y en qué modalidad de servicio sería mejor.
REQUISITOS
La compañía se divide en una sede central en Madrid y varias sedes que también están en el
alcance. Dichas sedes son las siguientes:
a. Ciudad Real.
b. Santander.
c. Valencia.
Por normativa interna, los datos sobre la auditoría de los diferentes sistemas deben ser
almacenados en la sede central.
En cada sede existe un CPD y un equipo técnico que podrá realizar el enrackado de las máquinas.
VER SOLUCIÓN
SOLUCIÓN
Con base en los requisitos, y, sobre todo, el que indica que quieren almacenar los datos de forma
local, y en las diferentes sedes sobre las que hay que recoger la información, la opción que más se
ajustaría a sus necesidades es la de on premise.
Para este caso, si bien el volumen de eventos no es alto, un all-in-one puede procesarlo sin
problema. La existencia de diferentes sedes que deben de ser monitorizadas como parte del
alcance fuerza a disponer de diferentes event collectors en cada una de las sedes, facilitando de
esta forma la comunicación entre diferentes sedes.
Con esta aproximación únicamente es necesario habilitar la comunicación entre dos componentes,
facilitando la segmentación de red actual.
McPherson, R.; Miyamoto, I.; Martin, J.; Talabis, M. Information Security Analytics: Finding
Security Insights, Patterns, and Anomalies. Waltham: Syngress; 2014.
IR AL SITIO WEB
Lección 8 de 9
VIII. Glosario
Arquitectura all-in-one
–
Arquitectura que se identifica como aquella en la que todas las capas de las que se compone un SIEM se
alojan en un mismo servidor.
Arquitectura distribuida
–
Arquitectura que se caracteriza por dividir las diferentes capas de las que se compone una tecnología SIEM
en varios servidores, con el objetivo de aumentar las capacidades de recolección/almacenamiento o
correlación.
Despliegue on premise
–
Se caracteriza por que el cliente dispone de una herramienta SIEM desplegada dentro de su infraestructura.
Modelo as a service
–
Aquel en el que el cliente no hace una inversión de hardware, software y personal para operar la tecnología
de SIEM, sino que esta inversión es asumida por el proveedor del servicio contratado.
Lección 9 de 9
IX. Bibliografía