Correlación y gestión de eventos

Correlación y Gestión de Eventos (SIEM)

Gestión y Análisis de fuentes de información centralizada.

• Gestión de registros

• Correlación de eventos y análisis

• Monitoreo de incidentes y alertas de seguridad

• Gestión de compliance y informes

Capacidades:

• Agregación de Información

• Correlación

• Alerta

• Dashboard

• Compliance

• Retención

• Análisis Forense

¿Porqué es importante?

• Puede ayudar a detectar Zero-Days

• Normalización y categorización de logs

• Visualización de eventos

• Detección de malas configuraciones

• Puede detectar comunicaciones maliciosas y canales encriptados

Ejemplo:

Regla:

Fuente de inicio de sesión de ataque repetido

Objetivo:

Alerta temprana para ataques de fuerza bruta

Trigger:

Alerta sobre 3 o más inicios de sesión fallidos en un minuto de un sólo host

Fuentes de información:

Active Directory, Syslog (hosts Unix, conmutadores, enrutadores, VPN) RADIUS, TACACS, aplicaciones monitoreadas

Correlación y gestión de eventos (SIEM - Security Information and Event Management)

Es el campo de la seguridad informática que se encarga de analizar de forma centralizada los eventos de seguridad generados por los diferentes controles (Firewall, IDS, etc.) , con el fin de analizarla en su contexto, detectar anomalías y tomar acciones.

Un caso de ejemplo podría ser si se detecta un flujo de paquetes mas alto de lo normal en una tienda online, por si solo se podría sospechar de un ataque, pero si se analiza en el contexto de que un producto está de oferta, podría considerarse normal.

El funcionamiento de un SIEM es el siguiente:

1. Gestión de registros: Recopilar información desde los diferentes controles de seguridad.
2. Correlación de eventos y análisis: Analizar la información recopilada en su conjunto y detectar anomalías.
3. Monitoreo de incidentes y alertas de seguridad: El monitoreo se realiza de forma continua, y se envían alertas cuando la probabilidad de estar bajo un ataque es alta.
4. Gestión de compliance y informes: Extracción de reportes para registros históricos, cumplir con normas y estándares.

Capacidades:

• Agregación de Información:
• Correlación:
• Alerta:
• Dashboard:
• Compliance:
• Retención:
• Análisis Forense:

Importancia:

• Detección de Zero-Days: Detecta amenazas para las que otros sistemas no poseen parches.
• Normalización y categorización de logs: Ayuda a la organización de la información recabada.
• Visualización de eventos: Permite visualizar la información de forma gráfica.
• Detección de malas configuraciones: Permite realizar configuraciones adecuadas en base al comportamiento normal de la red.
• Puede detectar comunicaciones maliciosas y canales encriptados

Splunk es una muy buena herramienta. Demasiado completa y efectiva.

Splunk es muy buen SIEM y tiene una version open source, para pagos exabeam es demasiado bueno.

Algunos ejemplos de reglas que se pueden configurar en un sistema SIEM:

1. Regla: Detección de intentos de inicio de sesión fallidos
   Objetivo: Identificar posibles intentos de hacking o uso no autorizado
   Trigger: Más de 3 intentos de inicio de sesión fallidos en un período de 5 minutos
   Fuente de información: Registros de inicio de sesión del sistema

2. Regla: Detección de actividad sospechosa en la red
   Objetivo: Identificar posibles ataques de red o uso no autorizado
   Trigger: Uso inusual de ancho de banda en un período de tiempo específico
   Fuente de información: Registros de tráfico de red

3. Regla: Detección de software malicioso en dispositivos
   Objetivo: Identificar posibles infecciones con malware
   Trigger: Descarga o ejecución de un archivo conocido como malware
   Fuente de información: Registros de seguridad del sistema

4. Regla: Detección de cambios no autorizados en la configuración del sistema
   Objetivo: Identificar posibles intentos de hacking o uso no autorizado
   Trigger: Cambios en la configuración del sistema sin una acción previa autorizada
   Fuente de información: Registros de configuración del sistema

5. Regla: Detección de intentos de phishing
   Objetivo: Identificar posibles intentos de phishing
   Trigger: Correo electrónico con enlaces sospechosos o solicitudes de información personal
   Fuente de información: Registros de correo electrónico

Correlación y Gestión de Eventos (SIEM)

Administración de eventos e información de seguridad. Es un campo de la seguridad informática del que surgen soluciones que centralizan todas las fuentes de información para así tener una visión más completa de posibles amenazas, cumplimiento y manejo de incidentes.

Capacidades:
Agregación de Información
Correlación
Alerta
Dashboard
Compliance
Retención
Análisis Forense