SIEM (Security Information and Event Management) é un Sistema de Xestión de Eventos e Información de Seguridade que serve para monitorear, detectar, recoñecer, analizar e responder a ameazas de seguridade en tempo real.
Combina a xestión de eventos de seguridade (SEM, Security Event Management) e a xestión da información de seguridade (SIM, Security Information Management) para proporcionar unha visión centralizada da seguridade nunha organización. Foi Gartner quen, en 2005, acuñou o termo SIEM para referirse á combinación das tecnoloxías SIM e SEM.
Para que serve un SIEM
Un SIEM é unha ferramenta clave para calquera empresa que queira protexer os seus datos e cumprir coas normativas de seguridade. Estas son algunhas das súas funcións máis destacadas:
• Recollida de datos, recompilando rexistros (logs) e eventos de seguridade de diversas fontes: firewalls, servidores, bases de datos, antivirus, aplicacións e servizos na nube...
• Monitorización en tempo real da seguridade en servidores, redes, dispositivos ou aplicacións.
• Normalización e correlación, transformando os datos nun formato estandarizado e analizando eventos en tempo real para detectar ameazas.
• Creación de cadros de mando que permiten visualizar e xestionar facilmente toda a información en táboas e gráficos.
• Xeración de alertas, identificando patróns sospeitosos ou ataques avanzados.
• Investigación e análise de incidentes de seguridade.
• Axuda na xestión (e automatización) de respostas a ameazas.
• Adecuación ao cumprimento normativo en materia de seguridade.
Como funciona un SIEM
Un SIEM é a principal ferramenta dos Centros de Operacións de Ciberseguridade (SOC) para a detección e resposta a incidentes.
Tras recompilar datos, un SIEM agrupa e clasifica eventos segundo a súa orixe e tipo. Utiliza solucións baseadas en Intelixencia Artificial para detectar patróns sospeitosos, reducir falsos positivos ao correlacionar información de distintas fontes e automatizar procesos manuais asociados á detección de ameazas e a resposta a incidentes.
Se detecta unha anomalía, o SIEM envía alertas ao equipo de seguridade (pódese personalizar o sistema de aviso), clasifica incidentes segundo a súa gravidade e xera reportes que serven tanto para auditorías como para analizar o sucedido.
A configuración do SIEM pódese adaptar para que automatice respostas e poida, por exemplo, bloquear unha IP ou illar un dispositivo. Tamén pode integrarse con ferramentas SOAR para unha resposta coordinada. Ademais, un SIEM é escalable e poden aumentarse ou diminuírse as súas capacidades en función de necesidades concretas.
Desta maneira, permite anticiparse a ciberataques antes de que causen dano, reducir o tempo de detección e resposta fronte a incidentes e centralizar a seguridade nunha única plataforma, en lugar de tela distribuída en múltiples ferramentas separadas.
Tipos de SIEM
Existen varios tipos de SIEM segundo o seu modelo de implementación:
• SIEM On-Premise (local). Está instalado nos servidores da empresa, que ten control total sobre os datos e a infraestrutura.
• SIEM na Nube (Cloud SIEM). Non require infraestrutura propia por parte da empresa, xa que está na nube e é administrado por un provedor. O acceso é en modo remoto.
• SIEM Híbrido. Combina SIEM local e na nube e resulta unha opción especialmente útil para empresas con datos sensibles e necesidades de escalabilidade.
