¿Qué es SIEM?

• Administración de eventos e información de seguridad. Es un campo de la seguridad informática del que surgen soluciones que centralizan todas las fuentes de infromación para así tener una visión más completa de posibles amenazas, cumplimiento y manejo de incidentes.

¿Como funciona?

1. Gestion de registros.
   1. De diferentes fuentes de información recopila informacion los detalles (envie el ids/ips/firewall) despues de recopilar hace recopilacion de eventos para detectar si son amenzas o un falso positivo
2. Correlación de eventos y análisis.
   1. por si tiene una promoción y por eso tiene mas mensajes
3. Monitoreo de incidentes y alertas de seguridad.
   1. sistema va estar moritoneando eventos y si hay probabilida de que sea un ataque va avisarle al administrador de sistema que hay un ataque para que el mismo pueda tomar una decisión
   2. sistema para gestionar normas o realizar informes para ver como
4. Gestión de compliance e informes.

Capacidades:

• Agregacion de información

• Correlacion

• Alerta (Detectan si es un ataque)

• Dashboard (Forma de visualizar diferentes peticiones, de donde vienen, si tiene % que pueda ser un ataque)

• Compliance ( generar informes)

• Retención (retener en 1 lugar por un determinado tiempo los informes, el tiempo es una norma hecha o decision de la empresa)

• Análisis Forense (Como esta todo en un mismo lugar, si la empresa sufre de un ataque y tiene todos los logs en un mismo lugar la empresa que contrate para analizar el ataque ellos pueden ver los logs y como los atacantes entraron al sistema para arreglar las fallas de seguridad)

  Logs = registros

¿Por qué es importante?

• Puede ayudar a detectar zero-days
• Normalización y categorización de logs.
  • Si tenemos todos nuestros logs en un mismo lugar se puede categorizar
• Visualizacion de Eventos.
• Detección de malas configuraciones.
• Puede detectar comunicaciones maliciosas y canales encriptados.

SOLUCIONES

• Proveedores