SIEM sorgeix de la combinació de funcions SIM (Security Information Management) i SEM (Security Events Management), combinant així les dues funcions en un sol sistema, que analitza les dades de seguretat més rellevants de cara a observar i analitzar les tendències i/o patrons que se surten de l’ús comú en l’empresa.
Quin és l’origen i què fa un SIEM?
SIEM sorgeix de la combinació de funcions SIM (Security Information Management) i SEM (Security Events Management), combinant així les dues funcions en un sol sistema, que analitza les dades de seguretat més rellevants de cara a observar i analitzar les tendències i/o patrons que se surten de l’ús comú en l’empresa.
Un SIEM automatitza el procés de monitorització d’administració de les vulnerabilitats, mitjançant l’execució regular de les tecnologies implementades. Aquest sistema proporciona una gestió en temps real i una anàlisi històric de dades de seguretat provinents d’un gran conjunt de fonts. Llavors, si filtrem aquesta informació dels incidents, podrem utilitzar-la per a donar resposta a l’incident, i fer-ne una anàlisi forense adequada.
Quines funcionalitats aporta a l’empresa?
Un SIEM aporta un gran nombre de funcions, algunes de més importants que d’altres, però no irrellevants. Les principals són les següents:
- Agregació/Indexació de dades, mitjançant les diferents fonts de dades que després seran analitzades.
- Correlació de dades, a través de l’anàlisi de dades, s’establiran patrons, per a filtrar la informació que realment ens interessa.
- Alertes, que ens arribaran als dispositius més propers en funció de les alertes que haguem definit a l’hora d’analitzar les dades.
- Taules, gràfiques i dades representatives que permetin una fàcil i ràpida comprensió del que està ocorrent al sistema.
- Automatització de tasques, tasques automatitzades que permetran la recopilació i anàlisi de dades a llarg termini, que permetrà tenir un volum suficientment gran a l’hora d’analitzar.
- Anàlisi forense, un anàlisi que es podrà fer amb tot nivell de detall degut a que la informació es pot classificar en funció del seu contingut i que es farà en profunditat gràcies a la capacitat de cercar registres i períodes de temps concrets.
Si considerem la quantitat d’esdeveniments que tenen lloc a l’entorn informàtic de l’empresa, sense una eina d’aquest tipus, és impossible analitzar o tenir en compte els esdeveniments que més poden comprometre la informació de l’empresa. Com que les vies d’un ciberatac són tantes que es pràcticament impossible controlar-les totes, és aquí on entra el SIEM, analitzant digitalment tots aquests esdeveniments, generant alertes sobre activitats malicioses.
Com funciona un SIEM i quins elements puc analitzar?
Els sistemes SIEM es caracteritzen per fer un ús centralitzat de l’emmagatzematge i totes les dades relacionades amb la seguretat de l’entorn. Cada sistema, utilitza el seu propi mètode de recopilació de la informació de forma jeràrquica en la majoria per a donar prioritat a la informació on poden ocórrer els falls més crítics. Es recullen les màximes dades possibles del conjunt del sistema, tant d’elements físics com dispositius dels usuaris, servidors, equips de xarxa i d’altres no tan físics, com el ‘Firewall’ o Tallafocs, el propi antivirus o sistemes de prevenció d’intrusions.
El conjunt de dades, s’envia al centre del sistema, on seran analitzats i tractats per a detectar possibles anomalies i/o monitoritzar el propi sistema per a un correcte funcionament d’aquest.
Costos d’adoptar, desplegar i gestionar un sistema SIEM
Els costos varien àmpliament depenent dels factors principals com les capacitats d’un SIEM i l’arquitectura seleccionada.
Primerament, s’ha de tenir en compte un factor important, l’impacte que causa aquest al sistema, ja que en ser d’un Software amb capacitats d’anàlisi en temps real, requereix un Hardware adequat per aquest, amb uns recursos suficients, dedicats exclusivament per aquest.
Aquest primer factor és primordial per triar si podem gestionar el SIEM nosaltres mateixos amb els nostres recursos o bé haurem de recórrer al lloguer de servidors Online, o d’un SIEM implementat al núvol.
Desplegar la solució per nosaltres mateixos, requerirà dedicar uns recursos d’emmagatzematge, CPU i RAM al servei, a més de la configuració d’aquest, que acostuma a ser complexa. Per altre costat, contractar un SIEM implementat al núvol no requerirà una configuració inicial, ni d’una gestió, ja que se n’encarreguen els que ofereixen el servei, però aquesta solució acostuma a ser una mica més cara.
Un cop desplegat el SIEM, haurem de configurar-lo adequadament pels nostres serveis, i gestionar-lo del mateix mode. És un procés més complex que contractar un SIEM al núvol, però d’aquest mode ens assegurem que les dades no surten del nostre entorn, i que el personal que tracta les dades que poden ser crítiques, és personal de la mateixa empresa.
Cal dir, que la majoria de SIEM ofereixen una documentació complexa i extensa, encara que molt detallada i per a qualsevol dubte el servei al client, és prou bo, fet que no evitarà que ens barallem una temporada amb el sistema.
‘Commercial Software’ vs ‘Open Source Software’, Solucions de Mercat
Les primeres solucions que es podrien pensar són les solucions comercials que requereixen una configuració més senzilla, amb un suport 24/7 com podrien ser:
- AlienVault USM Anywhere
- ArcSight Enterprise Security Manager
- IBM Security QRadar SIEM
- Intel Security
- LogRythm Security Intelligence Platform
Altres solucions són les Open Source, és a dir, que són gratuïtes, però contenen certs extres que sí que es paguen. Aquests sistemes són capaços de fer el mateix que els comentats anteriors, encara que la configuració, desplegament i gestió s’haurà de fer per el propi compte del que ho implementarà. Les solucions més viables són les següents:
- AlienVault OpenSource SIEM
- Elasticsearch EFK/ELK-SIEM
- OSSIM
- OSSEC
- SPLUNK
ElasticSearch ELK-SIEM, Experiència personal
Actualment, estic configurant de zero un sistema ElasticSearch SIEM, es va triar aquest sistema degut a que era l’opció OpenSource que més permetia el desenvolupament de noves característiques i la configuració de la totalitat del sistema.
ElasticSearch ELK-SIEM, és un sistema centralitzat on les dades són indexades a través de Logstash i els seus propis components, més coneguts com a ‘plugins’. L’arquitectura bàsica del sistema és molt semblant a la de qualsevol SIEM, 3 nivells, cadascun corresponent a ELK, però això s’explicarà més endavant, a una altra entrada del blog referent al sistema ELK.
En el cas del SIEM ElasticSearch existeixen dues vies per escollir, ELK o EFK, on les segles es corresponen amb:
- E: ElasticSearch, com a motor de cerca de la informació indexada
- L: Logstash, eina d’indexació de les dades
- F: Fluentd, eina d’indexació de les dades
- K: Kibana, Interfície gràfica per interactuar amb les dades.
| Plataforma | Enrutament d’Events | Plugins | Rendiment | |
| Logstash | Linux & Windows | Declaracions algorítmiques | Centralitzat | Utilitza més memòria, gran quantitat de components. |
| Fluentd | Linux & Windows | Tags | Descentralitzat | Utilitza menys memòria, manca de components. |