Herramientas SIM/SIEM

1. ¿Qué significan las siglas?

Aunque a menudo se usan como sinónimos, tienen matices distintos:

  • SIM (Security Information Management): Se encarga de la recolección, el almacenamiento a largo plazo y el análisis de los datos de registro (logs). Su enfoque es más histórico y de cumplimiento (auditoría).
  • SEM (Security Event Management): Se centra en la monitorización en tiempo real, la correlación de eventos y la generación de alertas inmediatas.
  • SIEM (Security Information and Event Management): Es la combinación de ambos. Es la solución completa que permite tanto el análisis histórico como la respuesta ante incidentes en tiempo real.

2. Funciones principales

El SIEM no solo «guarda» los logs, sino que aporta inteligencia mediante:

  • Agregación de datos: Recopila datos de muchas fuentes, no solo del cortafuegos (servidores, antivirus, switches, aplicaciones).
  • Correlación de eventos: Esta es la función más potente. Por ejemplo, si el firewall detecta una conexión desde una IP sospechosa y, segundos después, el servidor interno registra un intento fallido de login, el SIEM «une los puntos» y lanza una alerta de posible ataque.
  • Normalización: Los logs de un firewall Cisco no tienen el mismo formato que los de uno Checkpoint. El SIEM los traduce todos a un lenguaje común para poder compararlos.
  • Dashboards y Gráficas: Transforma millones de líneas de texto en paneles visuales que permiten ver de un vistazo picos de tráfico o anomalías.

3. Las alertas en el SIEM (Casos prácticos)

El documento destaca varios tipos de alertas que estas herramientas gestionan eficazmente:

  1. Alertas de estado del dispositivo: Identifican fallos físicos o lógicos (caída de interfaz, falta de memoria).
  2. Alertas por umbral (Agrupadas):
    • Ataques DoS: Si se detecta un «exceso de tráfico permitido» muy por encima de lo habitual, podría ser un ataque de denegación de servicio.
    • Escaneo de puertos: «Exceso de tráfico denegado desde una IP origen concreta durante un tiempo T». Esto indica que alguien está probando puertos para ver cuáles están abiertos.
    • Ataque dirigido: «Exceso de tráfico denegado hacia una IP destino concreta». Alguien está intentando entrar específicamente en un servidor crítico.

4. Ejemplos de herramientas SIEM líderes

Si estás buscando nombres comerciales para ampliar la investigación:

  • Splunk: Muy potente en análisis de datos masivos.
  • IBM QRadar: Conocido por su gran capacidad de correlación de eventos.
  • Elastic Stack (ELK): Una opción de código abierto muy popular (Elasticsearch, Logstash, Kibana).
  • Microsoft Sentinel: Solución SIEM nativa de la nube (Azure).

Entradas relacionadas: