La gestión de eventos de seguridad ( SEM ) y el SIM y SIEM relacionados son disciplinas de seguridad informática que utilizan herramientas de inspección de datos para centralizar el almacenamiento y la interpretación de registros o eventos generados por otro software que se ejecuta en una red. [1] [2] [3]
Descripción general
Los acrónimos SEM , SIM y SIEM a veces se han utilizado indistintamente, [4] [5] pero generalmente se refieren a los diferentes enfoques primarios de los productos:
- Gestión de registros : céntrese en la recopilación y el almacenamiento simples de mensajes de registro y pistas de auditoría [6]
- Gestión de la información de seguridad ( SIM ): almacenamiento a largo plazo, así como análisis e informes de datos de registro.
- Gestor de eventos de seguridad (SEM): Monitoreo en tiempo real, correlación de eventos, notificaciones y vistas de consola.
- Gestión de eventos e información de seguridad ( SIEM ): combina SIM y SEM y proporciona un análisis en tiempo real de las alertas de seguridad generadas por el hardware y las aplicaciones de la red. [7] [8]
Registros de eventos
Muchos sistemas y aplicaciones que se ejecutan en una red informática generan eventos que se guardan en registros de eventos. Estos registros son esencialmente listas de actividades que ocurrieron, con registros de nuevos eventos que se agregan al final de los registros a medida que ocurren. Los protocolos , como syslog y SNMP , se pueden utilizar para transportar estos eventos, a medida que ocurren, al software de registro que no se encuentra en el mismo host en el que se generan los eventos. Los mejores SEM proporcionan una gama flexible de protocolos de comunicación compatibles para permitir la más amplia gama de recopilación de eventos.
Es beneficioso enviar todos los eventos a un sistema SEM centralizado por las siguientes razones:
- El acceso a todos los registros se puede proporcionar a través de una interfaz central coherente.
- El SEM puede proporcionar almacenamiento y archivo de registros de eventos seguros y forenses (esta también es una función clásica de administración de registros).
- Se pueden ejecutar poderosas herramientas de informes en el SEM para extraer los registros en busca de información útil.
- Los eventos se pueden analizar a medida que llegan al SEM para determinar su importancia, y las alertas y notificaciones se pueden enviar inmediatamente a las partes interesadas según se justifique.
- Se pueden detectar eventos relacionados que ocurren en múltiples sistemas, lo cual sería muy difícil de detectar si cada sistema tuviera un registro separado.
- Los eventos que se envían desde un sistema a un SEM permanecen en el SEM incluso si el sistema de envío falla o los registros en él se borran accidental o intencionalmente.
Análisis de seguridad
Aunque el registro centralizado ha existido durante mucho tiempo, los SEM son una idea relativamente nueva, iniciada en 1999 por una pequeña empresa llamada E-Security, [9] y todavía están evolucionando rápidamente. La característica clave de una herramienta de administración de eventos de seguridad es la capacidad de analizar los registros recopilados para resaltar eventos o comportamientos de interés, por ejemplo, un inicio de sesión de administrador o superusuario , fuera del horario comercial normal. Esto puede incluir adjuntar información contextual, como información del host (valor, propietario, ubicación, etc.), información de identidad (información del usuario relacionada con las cuentas a las que se hace referencia en el evento, como nombre / apellido, identificación de la fuerza laboral, nombre del gerente, etc.), Etcétera. Esta información contextual se puede aprovechar para proporcionar una mejor correlación y capacidades de generación de informes y, a menudo, se la denomina metadatos. Los productos también pueden integrarse con herramientas externas de corrección, emisión de tickets y flujo de trabajo para ayudar con el proceso de resolución de incidentes. Los mejores SEM proporcionarán un conjunto flexible y extensible de capacidades de integración para garantizar que el SEM funcione con la mayoría de los entornos de los clientes.
Los requisitos reglamentarios
Los SEM se venden a menudo para ayudar a satisfacer los requisitos normativos de EE. UU., Como los de Sarbanes-Oxley , PCI-DSS , GLBA . [ cita requerida ]
Estandarización
Uno de los principales problemas en el espacio SEM es la dificultad de analizar consistentemente los datos de eventos. Cada proveedor, y de hecho en muchos casos diferentes productos de un solo proveedor, utiliza un formato de datos de eventos y un método de entrega de propiedad diferente. Incluso en los casos en los que se utiliza un "estándar" para alguna parte de la cadena, como Syslog , los estándares no suelen contener suficiente orientación para ayudar a los desarrolladores a generar eventos, a los administradores a recopilarlos de manera correcta y confiable y a los consumidores. para analizarlos de forma eficaz.
Como un intento de combatir este problema, se están realizando un par de esfuerzos de estandarización paralelos. Primero, The Open Group está actualizando su estándar XDAS de alrededor de 1997 , que nunca pasó del estado de borrador. Este nuevo esfuerzo, denominado XDAS v2, intentará formalizar un formato de evento que incluya qué datos deben incluirse en los eventos y cómo deben expresarse. [ cita requerida ] El estándar XDAS v2 no incluirá estándares de entrega de eventos, pero otros estándares en desarrollo por el Grupo de trabajo de administración distribuida pueden proporcionar una envoltura.
Además, MITRE desarrolló esfuerzos para unificar los informes de eventos con Common Event Expression (CEE), que tenía un alcance algo más amplio, ya que intentaba definir una estructura de eventos y métodos de entrega. Sin embargo, el proyecto se quedó sin financiación en 2014.
Ver también
Referencias
- ^ "Copia archivada" . Archivado desde el original el 19 de octubre de 2014 . Consultado el 17 de julio de 2013 .CS1 maint: copia archivada como título ( enlace ) SIEM
- ^ Preparación para la gestión de eventos de seguridad
- ^ Una aplicación práctica de SIM / SEM / SIEM que automatiza la identificación de amenazas
- ^ Swift, David (26 de diciembre de 2006). "Una aplicación práctica de SIM / SEM / SIEM, Automatización de la identificación de amenazas" (PDF) . Instituto SANS . pag. 3 . Consultado el 14 de mayo de 2014 .
... el acrónimo SIEM se utilizará genéricamente para referirse ...
- ^ Kelley, Diana (marzo de 2004). "Informe: Convergencia de la gestión de la seguridad a través de SIM (Gestión de la información de seguridad): una perspectiva de requisitos" . Revista de Gestión de Redes y Sistemas . 12 (1): 137-144. doi : 10.1023 / B: JONS.0000015702.05980.d2 . ISSN 1064-7570 .
- ^ http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf
- ^ "SIEM: Una instantánea del mercado" . Diario del doctor Dobb. 5 de febrero de 2007.
- ^ El futuro de SIEM: el mercado comenzará a divergir
- ^ "Novell compra seguridad electrónica" , 2006, ZDNet
enlaces externos
- Análisis SIEM
- Lista de las principales herramientas de SIEM y Event Log Manager