Correlación y Gestión de Eventos (SIEM)
Gestión y Análisis de fuentes de información centralizada.
-
Gestión de registros
-
Correlación de eventos y análisis
-
Monitoreo de incidentes y alertas de seguridad
-
Gestión de compliance y informes
Capacidades:
-
Agregación de Información
-
Correlación
-
Alerta
-
Dashboard
-
Compliance
-
Retención
-
Análisis Forense
¿Porqué es importante?
-
Puede ayudar a detectar Zero-Days
-
Normalización y categorización de logs
-
Visualización de eventos
-
Detección de malas configuraciones
-
Puede detectar comunicaciones maliciosas y canales encriptados
Ejemplo:
Regla:
Fuente de inicio de sesión de ataque repetido
Objetivo:
Alerta temprana para ataques de fuerza bruta
Trigger:
Alerta sobre 3 o más inicios de sesión fallidos en un minuto de un sólo host
Fuentes de información:
Active Directory, Syslog (hosts Unix, conmutadores, enrutadores, VPN) RADIUS, TACACS, aplicaciones monitoreadas
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?
o inicia sesión.