Gestión de información y eventos de seguridad

Un sistema de Gestión de Eventos e Información de Seguridad (en inglés: Security Information and Event Management, SIEM) es un sistema que centraliza el almacenamiento y la interpretación de los datos relevantes de seguridad. De esta forma, permite un análisis de la situación en múltiples ubicaciones desde un punto de vista unificado que facilita la detección de tendencias y patrones no habituales. La mayoría de los sistemas SIEM funcionan desplegando múltiples agentes de recopilación que recopilan eventos relacionados con la seguridad.^[1]

Un sistema SIEM combina funciones de un sistema de Gestión de Información de Seguridad (Security Information Management, SIM), encargado del almacenamiento a largo plazo, el análisis y la comunicación de los datos de seguridad, y un sistema de Gestión de Eventos de Seguridad (Security Event Management, SEM), encargado del monitoreo en tiempo real, correlación de eventos, notificaciones y vistas de la consola de la información de seguridad.^[2]

Algunos proveedores de SIEM son: Arcsight, empow, Logrhythm, QRadar y Splunk.

Implementaciones

En el mercado hay herramientas que son o integran sistemas SIEM como empow, IBM QRadar SIEM, RSA enVision, Security MARS o Alien Vault USM. Sin embargo, debido a su elevado precio, es habitual usar implementaciones con software usando una plataforma ELK (siglas de Elasticsearch-LogStash-Kibana aprovechando las capacidades de recolectar información usando LogStash, las capacidades de almacenamiento, búsqueda y análisis de Elasticsearch, más las capacidades de visualización y exploración de Kibana. Adicionalmente a la plataforma es habitual también instalar herramientas para explotar dicha información, para por ejemplo, correlacionar eventos (Ej. Simple event correlator) o realizar análisis estadísticos.^[3]

Véase también

Referencias

Datos: Q3493999

[1]

[2]

[3]