Autor: Cristian Villegas Aparicio, Analista de Ciberseguridad de IaaS365
Imagina tu SIEM como un verdadero héroe de la ciberseguridad, capaz de recolectar datos y proteger tu territorio digital contra amenazas. Nuestro heroico SIEM inicia su misión recopilando información de todas las fuentes posibles: firewalls, sistemas de detección de intrusiones, servidores, dispositivos de red y mucho más. Estos datos son como pistas en una investigación.
Ahora bien, ¿Qué hace un SIEM con toda esa información? La convierte en eventos, como capítulos en un libro. Cada evento cuenta una historia, pero la verdadera habilidad está en conectarlos todos para ver el panorama general. Aquí es donde entra en acción la asombrosa inteligencia del SIEM. Analiza esos eventos, busca patrones y conexiones entre ellos. Es como resolver un rompecabezas, pero dentro del mundo digital.
Nuestro superhéroe SIEM tiene trucos bajo la manga. Utiliza algoritmos y reglas para evaluar la información recibida ¿Hay algo sospechoso? ¿Algún patrón que coincida con las tácticas usadas por los cibervillanos? ¡Alerta al canto!
Además, un SIEM es como el centro de mando de tus sistemas. Recopila información de todas partes y la presenta de una manera fácil de entender. Es como tener todos tus detectives compartiendo información en una misma sala.
Debemos tener en cuenta que no todos los eventos son iguales. El Sistema de Gestión de Eventos e Información de Seguridad (SIEM) clasifica y prioriza las amenazas en función de su gravedad y la probabilidad de que ocurran. Esto permite enfocarse primero en aquellas que representan un mayor peligro y descartar falsos positivos.
No son pocas las bases de datos de las que se nutre un SIEM, donde en su mayoría aparecen términos como:
IOC (Indiciadores de Compromiso): Los indicadores de compromiso (IoC) son como señales de alarma en ciberseguridad. Imagina que son pistas dejadas por los atacantes: direcciones IP sospechosas, patrones de tráfico extraños, archivos infectados o cualquier detalle que indique que algo malicioso está ocurriendo. Detectar estos indicadores ayuda a los equipos de seguridad a responder rápidamente y protegerse contra ciberamenazas. Es como seguir migas de pan en el bosque, pero en el mundo digital para encontrar y detener a los «lobos» maliciosos.
TI (Inteligencia de Amenazas): La inteligencia de amenazas es como tener un equipo de espías digitales que busca activamente información sobre tácticas, técnicas y procedimientos utilizados por ciberdelincuentes. Esta información ayuda a prever posibles ciberataques y a fortalecer las defensas para mantenerse un paso adelante de los malhechores en el mundo digital.
YARA: Reglas centradas en identificar malware mediante patrones en archivos.
SNORT: Reglas enfocadas en la detección de amenazas analizando el tráfico de red
SIGMA: Busca normalizar la descripción de comportamientos de seguridad y eventos en un formato estándar y legible. Por ejemplo, pueden convertir en reglas específicas de herramientas y plataformas de seguridad, como YARA, Snort, Sysmon, entre otras. Esto facilita la implementación coherente en diferentes entornos
Tras revisar todos estos conceptos, vemos que un SIEM abarca multitud de parámetros para generar sus alertas, pero quizás quiero ser más específico, ya sea por la infraestructura a monitorizar o por optimizar recursos. Quizás has oído hablar algo referente a Casos de Uso, pero ¿Qué es esto?
Un «caso de uso» es como una misión específica asignada para monitorizar un patrón concreto de los ciberdelincuentes mediante playbooks, es decir, si mi infraestructura únicamente dispone de sistemas operativos Windows, haremos foco total en realizar playbooks relacionados con el sistema operativo Windows, además de los genéricos de red, IoCs o de TI.
Indicarle al SIEM exactamente qué buscar le ayuda a descubrir cosas extrañas más rápido. Esto le ahorrará tiempo y recursos. Existen marcos regulatorios de cumplimiento y certificación, que exigen tener este tipo de monitorización. Con los casos de uso, podemos desarrollar playbooks relacionados con dichos marcos regulatorios o de referencia, ya sean los CIS Control, ISO 27001, PCI-DSS o la novedosa NIS2.
Otros aspectos importantes por destacar cuando buscamos una seguridad de alta madurez, es incentivar a nuestro protagonista para que no trabaje solo y se una a la Vigilancia Digital y a la Ciberinteligencia de Amenazas, y así obtener información sobre las últimas tácticas técnicas y procedimientos utilizados por los ciberdelincuentes. Juntos, forman un equipo casi invencible.
¡Y así, tu mundo digital está a salvo!