You don't have access to this class

Keep learning! Join and start boosting your career

Aprovecha el precio especial y haz tu profesión a prueba de IA

Antes: $249

Currency
$209
Suscríbete

Termina en:

1 Días
16 Hrs
59 Min
31 Seg

Correlación y gestión de eventos

22/37
Resources

What is a SIEM and how does it work?

To protect a company's networks and systems, it is essential to have advanced tools to analyze and manage security events. This is where SIEM (Security Information and Event Management) comes into play, a system that centralizes logs from various security systems to provide a complete overview of the situation on a network. This system not only collects information, but also performs correlation and analysis to detect threats and prevent potential attacks.

How does the SIEM system operate?

SIEM manages logs from different information sources, such as firewalls, intrusion detection systems (IDS), intrusion prevention systems (IPS), and other protection systems. After collecting this data, it processes and analyzes the information to determine whether these are real threats or false positives. For example, an increase in user requests could be seen as an attack by an IDS, but further analysis could reveal that it is due to a company promotion and not an attack.

In addition, SIEM monitors incidents and issues security alerts when it detects possible malicious activity, allowing the administrator to make informed decisions. It also serves to generate reports necessary to meet compliance standards and evaluate network security.

What are the capabilities of a SIEM?

A SIEM is not only limited to threat detection, but also offers several additional capabilities:

  • Information aggregation: It collects data from multiple sources, allowing correlating events to identify potential attacks.
  • Dashboard visualization: Provides a clear visualization of requests, with graphs showing key data for interpreting network security.
  • Compliance system: Allows centralized logs to be retained for the time required by regulations, facilitating the generation of reports.
  • Forensic analysis: Stores logs that can be analyzed to review how attacks were committed and strengthen security.

Why is the implementation of a SIEM essential?

The implementation of a SIEM is crucial in the security of a company. It helps detect zero-day attacks, those that are novel and have no predefined security control. By receiving information from various sources, it can identify strange patterns that could be indicative of an attack. In addition, it allows log normalization and categorization, helping to discern between informative events, alerts, errors, and warnings.

This system is also useful for detecting misconfigurations within the network, such as mismatched rules in an IDS, and can identify malicious communications or unauthorized encrypted channels.

How are rules configured in a SIEM system?

The configuration of rules within a SIEM is essential for its effective operation. These can include:

  1. Brute force attack detection: the administrator will be alerted if there are repeated failed login attempts in a short time.

    If there are three or more failed login attempts on a host in less than a minute, issue alert.
  2. Network scan detection: If a firewall detects multiple port scan blocking events, the attacking IP can be blocked or the administrator alerted.

  3. Malicious activity detection: Configure alerts to identify strange behavior or malware infections on specific hosts.

Example of a SIEM system in action

An effective SIEM system will offer a dashboard user interface that displays graphs with information about incoming requests, their origin, volume, and risk profiles. This type of visualization not only aids in the rapid detection of incidents, but also facilitates decision-making based on accurate, real-time information.

SIEM solution providers

There are multiple SIEM solution providers, each with its own particularities and benefits. When researching options to implement in your company, it is important to find the one that best suits your specific needs. Some of the leading brands in the market will offer you advanced functionalities and a wide range of features, but it is always essential to analyze the options and needs of your organization to decide the best option.

Implementing a SIEM is a strategic decision for any organization looking to boost its cybersecurity and protect critical data from misconfigurations and cyber threats. Take control, dig deeper, and adapt to a robust and proactive security environment.

Contributions 16

Questions 2

Sort by:

Want to see more contributions, questions and answers from the community?

Correlación y gestión de eventos (SIEM - Security Information and Event Management)

Es el campo de la seguridad informática que se encarga de analizar de forma centralizada los eventos de seguridad generados por los diferentes controles (Firewall, IDS, etc.) , con el fin de analizarla en su contexto, detectar anomalías y tomar acciones.

Un caso de ejemplo podría ser si se detecta un flujo de paquetes mas alto de lo normal en una tienda online, por si solo se podría sospechar de un ataque, pero si se analiza en el contexto de que un producto está de oferta, podría considerarse normal.

El funcionamiento de un SIEM es el siguiente:

  1. Gestión de registros: Recopilar información desde los diferentes controles de seguridad.
  2. Correlación de eventos y análisis: Analizar la información recopilada en su conjunto y detectar anomalías.
  3. Monitoreo de incidentes y alertas de seguridad: El monitoreo se realiza de forma continua, y se envían alertas cuando la probabilidad de estar bajo un ataque es alta.
  4. Gestión de compliance y informes: Extracción de reportes para registros históricos, cumplir con normas y estándares.

Capacidades:

  • Agregación de Información:
  • Correlación:
  • Alerta:
  • Dashboard:
  • Compliance:
  • Retención:
  • Análisis Forense:

Importancia:

  • Detección de Zero-Days: Detecta amenazas para las que otros sistemas no poseen parches.
  • Normalización y categorización de logs: Ayuda a la organización de la información recabada.
  • Visualización de eventos: Permite visualizar la información de forma gráfica.
  • Detección de malas configuraciones: Permite realizar configuraciones adecuadas en base al comportamiento normal de la red.
  • Puede detectar comunicaciones maliciosas y canales encriptados

Correlación y Gestión de Eventos (SIEM)

Gestión y Análisis de fuentes de información centralizada.

  • Gestión de registros

  • Correlación de eventos y análisis

  • Monitoreo de incidentes y alertas de seguridad

  • Gestión de compliance y informes

Capacidades:

  • Agregación de Información

  • Correlación

  • Alerta

  • Dashboard

  • Compliance

  • Retención

  • Análisis Forense

¿Porqué es importante?

  • Puede ayudar a detectar Zero-Days

  • Normalización y categorización de logs

  • Visualización de eventos

  • Detección de malas configuraciones

  • Puede detectar comunicaciones maliciosas y canales encriptados

Ejemplo:

Regla:

Fuente de inicio de sesión de ataque repetido

Objetivo:

Alerta temprana para ataques de fuerza bruta

Trigger:

Alerta sobre 3 o más inicios de sesión fallidos en un minuto de un sólo host

Fuentes de información:

Active Directory, Syslog (hosts Unix, conmutadores, enrutadores, VPN) RADIUS, TACACS, aplicaciones monitoreadas

Splunk es una muy buena herramienta. Demasiado completa y efectiva.

Algunos ejemplos de reglas que se pueden configurar en un sistema SIEM:

  1. Regla: Detección de intentos de inicio de sesión fallidos
    Objetivo: Identificar posibles intentos de hacking o uso no autorizado
    Trigger: Más de 3 intentos de inicio de sesión fallidos en un período de 5 minutos
    Fuente de información: Registros de inicio de sesión del sistema

  2. Regla: Detección de actividad sospechosa en la red
    Objetivo: Identificar posibles ataques de red o uso no autorizado
    Trigger: Uso inusual de ancho de banda en un período de tiempo específico
    Fuente de información: Registros de tráfico de red

  3. Regla: Detección de software malicioso en dispositivos
    Objetivo: Identificar posibles infecciones con malware
    Trigger: Descarga o ejecución de un archivo conocido como malware
    Fuente de información: Registros de seguridad del sistema

  4. Regla: Detección de cambios no autorizados en la configuración del sistema
    Objetivo: Identificar posibles intentos de hacking o uso no autorizado
    Trigger: Cambios en la configuración del sistema sin una acción previa autorizada
    Fuente de información: Registros de configuración del sistema

  5. Regla: Detección de intentos de phishing
    Objetivo: Identificar posibles intentos de phishing
    Trigger: Correo electrónico con enlaces sospechosos o solicitudes de información personal
    Fuente de información: Registros de correo electrónico

Splunk es muy buen SIEM y tiene una version open source, para pagos exabeam es demasiado bueno.

Correlación y gestión de eventos
¿Qué es SIEM? Administración de eventos e información de seguridad. Es un campo de la seguridad informática del que surgen soluciones que centralizan todas las fuentes de información para así tener una visión más completa de posibles amenazas, cumplimiento y manejo de incidentes.
¿Cómo funciona?
• Gestión de registros:
• Correlación de eventos y análisis: hace comparación de las peticiones entrantes con el nivel de trabajo preparado para un día x por ejemplo.
• Monitoreo de incidentes y alertas de seguridad: monitorea los eventos y si determina que hay probabilidad de ataque, informa al administrador del sistema.
• Gestión de Compliance e informes.
Capacidades
• Agregación de información
• Correlación
• Alerta: en caso de haber un ataque, para identificar diferentes peticiones y de donde vienen.
• Dashboard:
• Compliance:
• Retención: tener en un lugar por un periodo determinado de tiempo.
• Análisis Forense: si la empresa sufre un ataque informático, la firma contratante puede ver los lost para identificar como realizaron el ataque de seguridad.
¿por qué es importante?
• Puedo ayudar a detectar zero-days.
• Normalización y categorización de logs.
• Visualización de ventos: Ver la cantidad de ventos y analizarlos, y así de ser necesarios generar alertas al administrador.
• Detección de malas configuraciones: cuando se dejan configuraciones por defecto o malas configuraciones, el sistema genera una alerta.
• Puede detectar comunicaciones maliciosas y canales encriptados: por ejemplo, identificar si alguien dentro de la empresa trata de sacar información sensible al exterior.
La recomendación es primero investigar que sistema se acomoda mejor a las necesidades de la empresa, y así poder escoger el que mejor se adapte.

La información sobre seguridad y gestión de eventos o SIEM (Security Information and Event Management)

Es un sistema de seguridad que persigue proporcionar a las empresas una respuesta rápida y precisa para detectar y responder ante cualquier amenaza sobre sus sistemas informáticos.

Cómo funciona un sistema SIEM: Las funciones principales que realiza un sistema SIEM son la de almacenar e interpretar los registros. El sistema SIEM recopila toda la información de forma centralizada en una base de datos para poder realizar un análisis profundo y así detectar tendencias y patrones de comportamiento que permitan diferenciar aquellos que no sean habituales.

Principales características

  1. Identificar entre amenazas reales y falsos incidentes.
  2. Monitorizar de forma centralizada todas las amenazas potenciales.
  3. Redirigir la actuación a personal cualificado para resolverlas.
  4. Aportar un mayor grado de conocimiento sobre los incidentes para facilitar su resolución.
  5. Documentar todo el proceso de detección, actuación y resolución.
  6. Cumplir con las normas y legislaciones vigentes en cuestión de protección de datos y seguridad.

Enlace de consulta: https://www.ambit-bst.com/blog/qué-significa-siem-y-cómo-funciona

Correlación y gestión de eventos

SIEM - Administración de eventos e información de seguridad. Es un campo de la seguridad informática del que surgen soluciones que centralizan todas las fuentes de información para así tener una visión más completa de posibles de amenazas, cumplimiento y manejo de incidentes.

Con esto podemos tener un panorama más completo de lo que sucede en la red. Puede llegar información desde el Firewall, IPS, sistema de gestion de endpoints, DLP y otros.

¿Cómo funciona?

  1. Gestión de registros: Recopila desde diferentes fuentes de observación los logs y lo que estás envíen. Como logs.
  2. Correlación de eventos y análisis: Detecta si fue una amenaza o un falso positivo.
  3. Monitoreo de incidentes y alertas de seguridad: El sistema va a esta monitoreando y si ha de darse un posible ataque, notifica al administrador del servicio.
  4. Gestión de compliance e informes: Cumplimiento de normas.

Capacidades

  • Agregación de información

  • Correlación

  • Alerta

  • Análisis Forense

  • Dashboard

  • Compliance

  • Retención

¿Por qué es importante un SIEM?

  • Puede ayudar a detectar ZERO-DAYS: Puede detectar anomalías y notificar al administrador para tomar acción.
  • Normalización y categorización de logs: Permite categorizar los logs.
  • Visualización de eventos: Permite generar dashboard de información.
  • Detección de malas configuraciones
  • Puede detectar comunicaciones maliciosas y canales encriptados
Gracias
ah y disculpen los errores gramaticales, Nunca apren de aprender y que Dios los bendiga
disculpen anexo a mi comenatrio anterios, la verdad no sabria, disculpen Nunca paren de aprender y Dios los bendiga
de antemano dsiculpen, pero no estoy seguro de esta parte: recuerdo en un callcenter que trabaje recibiamos ataque de prankers que azotaban las lineas, se recopilaba el numero base y de ahi se colocaba en un filtro de bloqueo, recuerdo que mi jefe podria monitorear la cantidad de red que se movia, en otro trabajo nos pasaban scans de posibles aperturas de seguridad, en el primero creo que suabamos fortinet era muy bueno, el segundo no sabia que suaban, disculpen. Nunca apren de aprender Dios los bendiga

SIEM es un campo de la seguridad informática que centraliza todas las fuentes de información para tener una visión completa de posibles amenazas, cumplimiento y manejo dees. Funciona mediante la gestión de registros, correlación de eventos y análisis, monitoreo de incidentes y alertas de seguridad, y gestión de compliance e informes. Las capacidades incluyen agregación de información, correlación, alerta, dashboard, compliance, retención y análisis forense. Es importante porque puede ayudar a detectar zero-days, normalizar y categorizar logs, visualizar eventos, detectar malas configuraciones y comunicaciones maliciosas.

Buenas tardes. Me gusta mucho este curso, es muy completo. Gracias

una pequeña observacion en el curso o del curso , es que deberian alinear los textos que estan en las presentaciones , unicamente gracias

Correlación y Gestión de Eventos (SIEM)

Administración de eventos e información de seguridad. Es un campo de la seguridad informática del que surgen soluciones que centralizan todas las fuentes de información para así tener una visión más completa de posibles amenazas, cumplimiento y manejo de incidentes.

Capacidades:
Agregación de Información
Correlación
Alerta
Dashboard
Compliance
Retención
Análisis Forense