Qué es, cómo funciona y casos de uso de un SIEM, charla de Marta López

Qué es, cómo funciona y casos de uso de un SIEM

La imagen idílica que se tiene del trabajo en un SOC (Centro de Operaciones de Seguridad) no siempre se ajusta a la realidad ¿o sí? El caso es que nada mejor que contar con el testimonio de una analista de seguridad que está en primera línea de SOC para contar cómo se distribuye el trabajo en estos centros a la hora de controlar que todo esté en orden y evitar, detectar o contener ciberincidentes, algo que vimos en el ciberdebate ‘El día a día de trabajo en un SOC‘ que contó entre otros con su participación.

Pero más allá de detallar los departamentos de prevención, detección y corrección que se encuentran en un SOC en esta ocasión se entra de lleno en desentrañar con detalle un SIEM, Sistema de Gestión de Eventos e Información de Seguridad .

Marta López (@Martixx) es ex-administradora de sistemas y trabaja actualmente como analista de seguridad en el equipo de Respuesta ante Incidentes en Telefónica Tech. Compartió su ponencia ‘Vacaciones en la costa del SOC‘ que resuelve el qué, cómo, cuando y por qué de un SIEM, con los participantes de la National Cyber League de la Guardia Civil en su primera edición en presencial. Coincidimos allí como mentoras y aproveché para grabar tanto su charla como otras cuantas más que iré publicando, de momento esta ya está disponible tanto en vídeo como en podcast.

Pero ¿qué es un SIEM?

Tal y como relata Marta en su charla, el concepto SIEM nació en 2005 y hace referencia a un servicio que se presta en la gestión de incidentes de seguridad informática. Su nombre es un acrónimo que surgió de dos herramientas que se usaban anteriormente por separado: SIM (Gestión y almacenamiento de información) + SEM (Monitorización y correlación de eventos) que han dado lugar a SIEM.

En definitiva viene a ser un Sistema de Gestión de Eventos e Información de Seguridad que se nutre de datos, que explota los datos y que se aprovecha de los datos para mejorar la seguridad de aquellas empresas que contratan dicho servicio.

Qué hay que tener en cuenta en un SIEM

La ponencia de Marta es un completo repaso de principio a fin para entender qué es y cómo se trabaja día a día con un SIEM contado desde su experiencia personal, una declarada Blue Team a corazón abierto. La charla está dividida de la siguiente manera:

  • De la estructura y funcionamiento general de un SIEM para entenderlo pasa a abordar con detalle cómo se trabaja en él por capas lógicas a nivel de recolección, correlación y almacenamiento e incluye otras funcionalidades.
  • A continuación entra a explicar cómo se implementa un SIEM teniendo en cuenta tanto los requisitos, la arquitectura, el aprovisionamiento como la explotación.
  • Fabricantes que ofrecen diversas soluciones a la hora de poner en marcha un SIEM.
  • En el apartado dedicado a la parte de inteligencia comenta las inabordables tareas de un analista y casos de uso con un montón de anécdotas con las que se ha topado.

Para complementar esta charla aconsejo otras cuantas que están disponibles en Palabra de hacker que encajan a la perfección: ‘Cómo montar un SOC en casa‘, ‘Construye y gestiona un SOC con herramientas open source‘, ‘IDS. Detección de intrusos mediante patrones con Snort y Jueves‘, ‘Análisis de un incidentes de seguridad‘ y el ciberdebate ‘Equipos de respuesta a incidentes de seguridad: qué son y cómo trabajan‘.

Vídeo

Podcast

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker

    ¿Quieres recibir todas las novedades por newsletter?

    Nombre

    Correo electrónico


    Información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con el consentimiento expreso del interesado. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

    AVISO LEGAL - PRIVACIDAD - COOKIES

    ¡Deja tu comentario! Tu correo electrónico no será publicado.

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.