No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Correlación y gestión de eventos

22/37
Recursos

Aportes 16

Preguntas 1

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Correlación y gestión de eventos (SIEM - Security Information and Event Management)

Es el campo de la seguridad informática que se encarga de analizar de forma centralizada los eventos de seguridad generados por los diferentes controles (Firewall, IDS, etc.) , con el fin de analizarla en su contexto, detectar anomalías y tomar acciones.

Un caso de ejemplo podría ser si se detecta un flujo de paquetes mas alto de lo normal en una tienda online, por si solo se podría sospechar de un ataque, pero si se analiza en el contexto de que un producto está de oferta, podría considerarse normal.

El funcionamiento de un SIEM es el siguiente:

  1. Gestión de registros: Recopilar información desde los diferentes controles de seguridad.
  2. Correlación de eventos y análisis: Analizar la información recopilada en su conjunto y detectar anomalías.
  3. Monitoreo de incidentes y alertas de seguridad: El monitoreo se realiza de forma continua, y se envían alertas cuando la probabilidad de estar bajo un ataque es alta.
  4. Gestión de compliance y informes: Extracción de reportes para registros históricos, cumplir con normas y estándares.

Capacidades:

  • Agregación de Información:
  • Correlación:
  • Alerta:
  • Dashboard:
  • Compliance:
  • Retención:
  • Análisis Forense:

Importancia:

  • Detección de Zero-Days: Detecta amenazas para las que otros sistemas no poseen parches.
  • Normalización y categorización de logs: Ayuda a la organización de la información recabada.
  • Visualización de eventos: Permite visualizar la información de forma gráfica.
  • Detección de malas configuraciones: Permite realizar configuraciones adecuadas en base al comportamiento normal de la red.
  • Puede detectar comunicaciones maliciosas y canales encriptados

Correlación y Gestión de Eventos (SIEM)

Gestión y Análisis de fuentes de información centralizada.

  • Gestión de registros

  • Correlación de eventos y análisis

  • Monitoreo de incidentes y alertas de seguridad

  • Gestión de compliance y informes

Capacidades:

  • Agregación de Información

  • Correlación

  • Alerta

  • Dashboard

  • Compliance

  • Retención

  • Análisis Forense

¿Porqué es importante?

  • Puede ayudar a detectar Zero-Days

  • Normalización y categorización de logs

  • Visualización de eventos

  • Detección de malas configuraciones

  • Puede detectar comunicaciones maliciosas y canales encriptados

Ejemplo:

Regla:

Fuente de inicio de sesión de ataque repetido

Objetivo:

Alerta temprana para ataques de fuerza bruta

Trigger:

Alerta sobre 3 o más inicios de sesión fallidos en un minuto de un sólo host

Fuentes de información:

Active Directory, Syslog (hosts Unix, conmutadores, enrutadores, VPN) RADIUS, TACACS, aplicaciones monitoreadas

Splunk es una muy buena herramienta. Demasiado completa y efectiva.

Algunos ejemplos de reglas que se pueden configurar en un sistema SIEM:

  1. Regla: Detección de intentos de inicio de sesión fallidos
    Objetivo: Identificar posibles intentos de hacking o uso no autorizado
    Trigger: Más de 3 intentos de inicio de sesión fallidos en un período de 5 minutos
    Fuente de información: Registros de inicio de sesión del sistema

  2. Regla: Detección de actividad sospechosa en la red
    Objetivo: Identificar posibles ataques de red o uso no autorizado
    Trigger: Uso inusual de ancho de banda en un período de tiempo específico
    Fuente de información: Registros de tráfico de red

  3. Regla: Detección de software malicioso en dispositivos
    Objetivo: Identificar posibles infecciones con malware
    Trigger: Descarga o ejecución de un archivo conocido como malware
    Fuente de información: Registros de seguridad del sistema

  4. Regla: Detección de cambios no autorizados en la configuración del sistema
    Objetivo: Identificar posibles intentos de hacking o uso no autorizado
    Trigger: Cambios en la configuración del sistema sin una acción previa autorizada
    Fuente de información: Registros de configuración del sistema

  5. Regla: Detección de intentos de phishing
    Objetivo: Identificar posibles intentos de phishing
    Trigger: Correo electrónico con enlaces sospechosos o solicitudes de información personal
    Fuente de información: Registros de correo electrónico

Splunk es muy buen SIEM y tiene una version open source, para pagos exabeam es demasiado bueno.

Correlación y gestión de eventos
¿Qué es SIEM? Administración de eventos e información de seguridad. Es un campo de la seguridad informática del que surgen soluciones que centralizan todas las fuentes de información para así tener una visión más completa de posibles amenazas, cumplimiento y manejo de incidentes.
¿Cómo funciona?
• Gestión de registros:
• Correlación de eventos y análisis: hace comparación de las peticiones entrantes con el nivel de trabajo preparado para un día x por ejemplo.
• Monitoreo de incidentes y alertas de seguridad: monitorea los eventos y si determina que hay probabilidad de ataque, informa al administrador del sistema.
• Gestión de Compliance e informes.
Capacidades
• Agregación de información
• Correlación
• Alerta: en caso de haber un ataque, para identificar diferentes peticiones y de donde vienen.
• Dashboard:
• Compliance:
• Retención: tener en un lugar por un periodo determinado de tiempo.
• Análisis Forense: si la empresa sufre un ataque informático, la firma contratante puede ver los lost para identificar como realizaron el ataque de seguridad.
¿por qué es importante?
• Puedo ayudar a detectar zero-days.
• Normalización y categorización de logs.
• Visualización de ventos: Ver la cantidad de ventos y analizarlos, y así de ser necesarios generar alertas al administrador.
• Detección de malas configuraciones: cuando se dejan configuraciones por defecto o malas configuraciones, el sistema genera una alerta.
• Puede detectar comunicaciones maliciosas y canales encriptados: por ejemplo, identificar si alguien dentro de la empresa trata de sacar información sensible al exterior.
La recomendación es primero investigar que sistema se acomoda mejor a las necesidades de la empresa, y así poder escoger el que mejor se adapte.

La información sobre seguridad y gestión de eventos o SIEM (Security Information and Event Management)

Es un sistema de seguridad que persigue proporcionar a las empresas una respuesta rápida y precisa para detectar y responder ante cualquier amenaza sobre sus sistemas informáticos.

Cómo funciona un sistema SIEM: Las funciones principales que realiza un sistema SIEM son la de almacenar e interpretar los registros. El sistema SIEM recopila toda la información de forma centralizada en una base de datos para poder realizar un análisis profundo y así detectar tendencias y patrones de comportamiento que permitan diferenciar aquellos que no sean habituales.

Principales características

  1. Identificar entre amenazas reales y falsos incidentes.
  2. Monitorizar de forma centralizada todas las amenazas potenciales.
  3. Redirigir la actuación a personal cualificado para resolverlas.
  4. Aportar un mayor grado de conocimiento sobre los incidentes para facilitar su resolución.
  5. Documentar todo el proceso de detección, actuación y resolución.
  6. Cumplir con las normas y legislaciones vigentes en cuestión de protección de datos y seguridad.

Enlace de consulta: https://www.ambit-bst.com/blog/qué-significa-siem-y-cómo-funciona

Correlación y gestión de eventos

SIEM - Administración de eventos e información de seguridad. Es un campo de la seguridad informática del que surgen soluciones que centralizan todas las fuentes de información para así tener una visión más completa de posibles de amenazas, cumplimiento y manejo de incidentes.

Con esto podemos tener un panorama más completo de lo que sucede en la red. Puede llegar información desde el Firewall, IPS, sistema de gestion de endpoints, DLP y otros.

¿Cómo funciona?

  1. Gestión de registros: Recopila desde diferentes fuentes de observación los logs y lo que estás envíen. Como logs.
  2. Correlación de eventos y análisis: Detecta si fue una amenaza o un falso positivo.
  3. Monitoreo de incidentes y alertas de seguridad: El sistema va a esta monitoreando y si ha de darse un posible ataque, notifica al administrador del servicio.
  4. Gestión de compliance e informes: Cumplimiento de normas.

Capacidades

  • Agregación de información

  • Correlación

  • Alerta

  • Análisis Forense

  • Dashboard

  • Compliance

  • Retención

¿Por qué es importante un SIEM?

  • Puede ayudar a detectar ZERO-DAYS: Puede detectar anomalías y notificar al administrador para tomar acción.
  • Normalización y categorización de logs: Permite categorizar los logs.
  • Visualización de eventos: Permite generar dashboard de información.
  • Detección de malas configuraciones
  • Puede detectar comunicaciones maliciosas y canales encriptados
ah y disculpen los errores gramaticales, Nunca apren de aprender y que Dios los bendiga
disculpen anexo a mi comenatrio anterios, la verdad no sabria, disculpen Nunca paren de aprender y Dios los bendiga
de antemano dsiculpen, pero no estoy seguro de esta parte: recuerdo en un callcenter que trabaje recibiamos ataque de prankers que azotaban las lineas, se recopilaba el numero base y de ahi se colocaba en un filtro de bloqueo, recuerdo que mi jefe podria monitorear la cantidad de red que se movia, en otro trabajo nos pasaban scans de posibles aperturas de seguridad, en el primero creo que suabamos fortinet era muy bueno, el segundo no sabia que suaban, disculpen. Nunca apren de aprender Dios los bendiga

SIEM es un campo de la seguridad informática que centraliza todas las fuentes de información para tener una visión completa de posibles amenazas, cumplimiento y manejo dees. Funciona mediante la gestión de registros, correlación de eventos y análisis, monitoreo de incidentes y alertas de seguridad, y gestión de compliance e informes. Las capacidades incluyen agregación de información, correlación, alerta, dashboard, compliance, retención y análisis forense. Es importante porque puede ayudar a detectar zero-days, normalizar y categorizar logs, visualizar eventos, detectar malas configuraciones y comunicaciones maliciosas.

Buenas tardes. Me gusta mucho este curso, es muy completo. Gracias

una pequeña observacion en el curso o del curso , es que deberian alinear los textos que estan en las presentaciones , unicamente gracias

el tema de canales encriptados es muy importante, esto les comento porque una vez en la empresa donde trabajo en un ATM pincharon el cable de comunicación y mediante algún software interfirieron a los mandatos del autorizador y modificaron las reglas de dispensación y empezaron a realizar retiros no habituales de montos altos y en la herramienta de monitoreo no se observaba nada inusual.

Correlación y Gestión de Eventos (SIEM)

Administración de eventos e información de seguridad. Es un campo de la seguridad informática del que surgen soluciones que centralizan todas las fuentes de información para así tener una visión más completa de posibles amenazas, cumplimiento y manejo de incidentes.

Capacidades:
Agregación de Información
Correlación
Alerta
Dashboard
Compliance
Retención
Análisis Forense