Blocs

Tecnología SIEM: ¿Mar de dudas o confusión provocada?

Alberto Cañadas Álvarez

Según Gartner, un SIEM (gestión de eventos de seguridad e información) requiere incluir la necesidad del cliente de analizar los datos de eventos en tiempo real para la detección temprana de ataques dirigidos y violaciones de datos y para recopilar, almacenar, investigar e informar sobre datos de registro para respuesta a incidentes, análisis forense y cumplimiento normativo.
 
La tecnología SIEM agrega datos de eventos producidos por dispositivos de seguridad, infraestructura de red, sistemas y aplicaciones. La fuente de datos primaria son los datos de registros, pero la tecnología SIEM también puede procesar otras formas de datos, como la telemetría de red. Los datos de eventos se combinan con información contextual sobre usuarios, activos, amenazas y vulnerabilidades.

Los datos pueden normalizarse, de modo que los eventos, los datos y la información contextual de fuentes dispares se puedan analizar para fines específicos, como la monitorización de eventos de seguridad de la red, la monitorización de la actividad del usuario y los informes de cumplimiento. La tecnología proporciona análisis en tiempo real de eventos para monitorización de seguridad, consultas y análisis histórico.

SIEM combina dos términos que muchas veces los fabricantes entremezclan provocando la confusión en los clientes y usuarios de plataformas o servicios basados en esta tecnología: SEM (monitorización y gestión de incidentes) y SIM (gestión de logs y cumplimiento). Los investigadores de Gartner definen SIEM (Gestión de información de seguridad y gestión de eventos) por la "necesidad de los clientes" de analizar los datos de eventos de seguridad en tiempo real, lo que respalda la detección temprana de ataques e infracciones. Los sistemas SIEM recopilan, almacenan, investigan, respaldan la mitigación e informan sobre datos de seguridad para dar respuesta a incidentes, análisis forense y cumplimiento normativo.

Además, en su definición de SIEM, Gartner incluye la necesidad de la agregación de datos de toda la red empresarial y la normalización de esos datos para su análisis. Un SIEM trabaja para facilitar la monitorización de seguridad, la monitorización de la actividad del usuario y el cumplimiento.

En el Cuadrante Mágico Gartner 2020 para SIEM, Gartner señala que la gestión de amenazas (detección y respuesta ante incidentes, threat intelligence y gestión de vulnerabilidades) debe estar presente en estas soluciones así como nuevas funcionalidades out of the box como SOAR o UEBA que deben ser tenidas en cuenta a la hora de seleccionar un SIEM. Es lo que se llama la cuarta fase de SIEM o Next Generation SIEM.