Soluciones de Información de Seguridad y Gestión de Eventos – SIEM

SIEM seguridad.
SIEM seguridad graphic from HP

Inicialmente herramientas de seguridad SIEM (Information Security and Event Management) estávan diseñados para manejar las amenazas externas contra la red y los sistemas a través de la análisis en tiempo real de los eventos en apoyo de la respuesta a incidentes (gestión de eventos de seguridad). También habían productos que ofrecian el almacenamiento a largo plazo, el análisis histórico y de las tendencias en una gran base de datos de registros para apoyar las actividades forenses (Información de gestión de la seguridad). Definición de TechBudda en 2007.

Soluciones de Información de Seguridad y Administración de Eventos(SIEM) proporcionan la análisis en tiempo real de los alertas de seguridad generados por el hardware y las aplicaciones de red, de modo que las empresas pueden responder a los ataques rápidamente y organizar gran cantidad de datos de registro (logs). Es esencialmente nada más que una capa de gestión por encima de los sistemas existentes y los controles de seguridad que conecta y unifica la información contenida en sus sistemas existentes permitiendo que sean analizados y referencias cruzadas desde una única interfaz. SIEM es eficaz para ayudar a hacer detecciones eficaces, análisis, y las respuestas en sus operaciones de seguridad.

AlienVault ha lanzado un gran recurso explicando lo que es SIEM para principiantes.

Sistemas SIEM recogen registros y otros documentos relacionados con la seguridad para la revisión, ya que la mayoría de los sistemas SIEM despliegan múltiples agentes para la colección de una manera jerárquica para recopilar eventos relacionados con la seguridad en usuarios finales (puntos finales), servidores, equipos de red y el equipo de seguridad, como firewalls, antivirus y sistemas de prevención de intrusiones. Los colectores reenvian eventos a una consola de gestión centralizada que realiza inspecciones y genera alertas contra un eventual mal funcionamiento. Para permitir que el sistema identifique tales eventos anómalos es importante que el administrador debe crear primero un perfil de sistema bajo condiciones normales de funcionamiento.

Sistemas SIEM son típicamente costosos de instalar y de operar y de administración complejos y requieren un alto nivel de conocimientos técnicos. Productos de SIEM requieren una amplia formación y certificación de sus partners de distribución. Para implementar SIEM en su empresa, cuente con los siguientes distribuidores en su país.

El Cuadrante Magico de Gartner para Soluciones de Información de Seguridad y Administración de Eventos (SIEM) publicado en Juño 2014 tiene IBM Security, HP, Splunk, Mcafee, y LogRhythm como líderes

Abajo el 2014 Cuadrante Mágico de Gartner para Soluciones de Información de Seguridad y Administración de Eventos (SIEM) .