¿Es la información de seguridad y la gestión de eventos (SIEM) una tecnología de seguridad efectiva?

El SIEM de hoy debería ser una fuente inagotable de captura de datos en tiempo real, análisis de correlación de eventos e informes. La tecnología SIEM ayuda a las organizaciones a mejorar el monitoreo de la red, la respuesta a las amenazas y la gestión de incidentes, ya que también satisfacen los requisitos de auditoría. De acuerdo con Gartner, las decisiones de selección de productos deben ser impulsadas por los requisitos específicos de una organización en áreas tales como la importancia relativa de cada una de las capacidades de SIEM, la facilidad y rapidez de implementación, los costos de inversión, las capacidades de soporte de la organización de TI y la integración con las infraestructuras del sistema y las aplicaciones. .

A continuación se muestran algunas características de SIEM que demuestran que es una tecnología efectiva.

1.

Recopiladores de eventos y datos: los productos SIEM recopilan datos de eventos de tráfico de red a través de la recepción de un flujo de datos de syslog desde el origen de eventos supervisado.

2.

Correlación: esto establece relaciones entre los mensajes o eventos generados por dispositivos, sistemas o aplicaciones, en función de características como la fuente, el destino, el protocolo o el tipo de evento. La correlación es importante para la administración de amenazas (para rastrear y analizar la progresión de un ataque a través de componentes y sistemas) y para el monitoreo de la actividad del usuario (para rastrear y analizar la actividad de un usuario en todas las aplicaciones, o para rastrear y analizar una serie de transacciones relacionadas o eventos de acceso a datos).

3.

Normalización de eventos y taxonomía: este es un mapeo de información de fuentes heterogéneas a una clasificación común. La taxonomía ayuda en el reconocimiento de patrones y también mejora el alcance y la estabilidad de las reglas de correlación. Cuando los eventos de fuentes heterogéneas se normalizan, se pueden analizar mediante un número menor de reglas de correlación, lo que reduce la implementación y el trabajo de soporte. Además, es más fácil trabajar con los eventos normalizados cuando se desarrollan informes y paneles de control

4.

Arquitectura escalable y flexibilidad de implementación: se derivan de decisiones de diseño de proveedores en las áreas de arquitectura de productos, técnicas de recolección de datos, diseños de agentes y prácticas de codificación. Durante la fase de planificación, muchas organizaciones subestiman el volumen de datos de eventos que se recopilarán, así como el alcance del análisis que se requerirá. Una arquitectura que admita escalabilidad y flexibilidad de implementación permitirá a una organización adaptar su implementación frente a un volumen y análisis de eventos inesperados.

5.

Simplicidad de implementación y soporte: para personal de seguridad más pequeño y capacidades de soporte de sistema más limitadas, las funciones predefinidas y la simplicidad de soporte y sencillez se valoran sobre la funcionalidad avanzada y la personalización extensa. Esto requiere una arquitectura que admita escalabilidad y flexibilidad de despliegue. El conocimiento incorporado se entrega con vistas de tablero predefinidas, informes para tareas de monitoreo específicas y requisitos de auditoría, una biblioteca de reglas de correlación para escenarios de monitoreo comunes y filtros de eventos para fuentes comunes. También debe haber una manera fácil de modificar las funciones predefinidas para satisfacer las necesidades particulares de una organización.

Espero que esta respuesta haya sido de ayuda para usted.

Una de las mejores maneras de identificar la efectividad de cualquier SIEM es a través de la retroalimentación de los usuarios. En la estación central de TI, los usuarios reales han escrito revisiones en profundidad de sus experiencias con su solución SIEM, incluidos los pros y los contras, y la eficacia con la que la han encontrado.

En términos de efectividad, este usuario escribe, “ Mejoras a mi organización:

Al usar ArcSight ESM y su tecnología de correlación, frena múltiples ataques de fuentes externas antes de explotaciones como la inyección de SQL, el intento de archivo de contraseña de UNIX, la fuerza bruta en los servidores publicados y más.

Además, se han evitado los fraudes internos mediante la prevención de intentos de inicio de sesión no autorizados en el firewall, la base de datos, los servidores críticos, etc. “La revisión completa del usuario está aquí: Revisión de HPE ArcSight por un usuario real

Este informe cubre diferentes soluciones SIEM y puede ser útil para evaluar su efectividad. Mejor Información de Seguridad y Gestión de Eventos (SIEM)

Yo diría que SIEM es una herramienta que se usa para monitorear su infraestructura de red para observar las cosas malas que suceden en una red como la presencia de gusanos, virus, troyanos, cualquier cosa sospechosa que ocurra en una red, etc.

SIEM es un dispositivo pasivo que le dará una alerta, una vez que coincida cualquier condición, la condición que usted haya configurado en SIEM. Por lo tanto, no tiene sentido comparar la herramienta SIEM con otros dispositivos activos como IPS, UTM que realmente pueden bloquear el tráfico. Sin embargo, puede usar estos dispositivos activos para bloquear el tráfico sospechoso, una vez que reciba una alerta de SIEM con respecto al tráfico sospechoso. Su trabajo en equipo. La eficacia de SIEM dependerá de la cantidad de inteligencia que proporcione al dispositivo SIEM.

SIEM es una solución efectiva:

• si lo configura correctamente con todas las condiciones correctas / efectivas o las reglas de correlación.
• Si conoce sus puntos débiles o casos de uso, desea que SIEM los aborde por usted.
• Si su equipo de monitoreo está monitoreando el tráfico 24 * 7 o según su zona horaria y no les falta ninguna alerta importante.
• Si su equipo de monitoreo sabe cómo responder a estas alertas.
• Si participa activamente en el ajuste fino de las reglas de correlación / alerta para minimizar los falsos positivos tanto como pueda.
• Si está recibiendo datos de todos sus dispositivos críticos.

En la mayoría de los casos, los clientes necesitan comprar un SIEM porque es un mandato de algunos de los estándares para cumplir con estos estándares.

¿Es un firewall una tecnología de seguridad efectiva? ¿Qué hay de los antivirus? ¿O sistemas de detección / prevención de intrusiones? Todas estas tecnologías tienen un lugar en una estrategia de defensa efectiva.

SIEM es uno de los mejores pasos hacia una mejor comprensión de las amenazas de seguridad dentro de su entorno. Cuando se utiliza con análisis le permitirá predecir posibles ataques en curso o incluso antes de que ocurra.

El principal problema con la seguridad es que solo tenemos visualización en puntos individuales. Así que un firewall te mostrará los intentos de acceso. Un antivirus mostrará los intentos de malware. Y IDS / IPS mostrará intentos de intrusión. Pero ¿qué pasa con la APT que está tomando algunas semanas o meses para atacar su red?

Ahí es donde los analíticos pueden entrar y alertarte.

A medida que la tecnología mejore, será una gran parte del conjunto de herramientas de seguridad de cualquier organización.

Muchos usuarios de tecnología empresarial en la comunidad de la Estación Central de TI han escrito sobre las herramientas SIEM que utilizan y describen el valor agregado que les han dado sus herramientas SIEM.

Los usuarios comparan las principales herramientas de SIEM en la industria e identifican las diferencias y similitudes clave entre ellas.

Algunas de estas herramientas incluyen Splunk (producto) AlienVault Fortinet Products and Services y otras.

Lea sus comentarios escritos aquí

¿Alguna vez imaginaste un mundo sin protección de seguridad de red? No solo haría que las redes de computadoras de cualquier compañía sean vulnerables a virus y malware, sino que también conduciría a la piratería o el robo de datos personales y privados. Aquí es donde las Soluciones SIEM (Información de Seguridad y Gestión de Eventos) vienen al rescate de tales dispositivos vulnerables y computadoras personales.

La información de seguridad y la gestión de eventos (SIEM, por sus siglas en inglés) es un enfoque de la gestión de la seguridad que busca brindar una visión integral de la seguridad de la tecnología de la información (TI) de una organización.

Los servicios SIEM de Inspira ( http://inspira.co.in/solutions/I… ) incluyen un análisis de monitoreo de eventos de seguridad de clase mundial de la infraestructura crítica del cliente (servidores, bases de datos, firewalls, IPS, AV, DLP, etc.) y servicios de informes ( Alertas de seguridad, informes de cumplimiento: ISO 27001, PCI, etc.). El equipo cuenta con experimentados analistas con décadas de experiencia en el análisis de eventos de SIEM, protegiendo a cada red de clientes las 24 horas y la capacidad de detectar y responder a todos los actores maliciosos, independientemente de dónde se encuentren o el malware que intenten aprovechar. Inspira tiene una combinación de tecnología de vanguardia que agrega y correlaciona eventos, respuesta probada y confiable, protocolo de remediación y servicios especializados 24/7.

La seguridad es importante ya que no querrás que alguien entre en tu casa u oficina. Dicho esto, la información de seguridad y la gestión de eventos es una tecnología de seguridad efectiva.

La mejor tecnología es ofrecida por R & R Frontline Services. Esta es una empresa que se toma muy en serio su trabajo y se asegura de que ofrecen servicios de seguridad excepcionales en el Reino Unido. Esta es mi recomendación. Mira, lo que más te convenga.

Dependiendo del tipo de herramientas que uses. Un sistema eficaz de gestión de eventos e información de seguridad cubre tecnologías que recopilan datos de proveedores y aplicaciones, proporcionan informes y facilitan la normalización. Pero las herramientas que emplea un SIEM deben estar perfectamente alineadas con su infraestructura tecnológica. Aquí hay una buena publicación sobre cómo elegir el SIEM adecuado para su empresa Cómo encontrar información de seguridad efectiva y gestión de eventos (SIEM)

Si instala un sistema SIEM listo para usar solo por mera formalidad, no lo es. Sin un ajuste adecuado se pasarán por alto muchas amenazas. Ningún sistema SIEM es perfecto y todos ellos enfrentan problemas. De lo más común, puedo nombrar los que tienen orígenes de eventos.

Aquí, puede leer más sobre ellos (¿Violaciones de seguridad de la información? – Fuentes de eventos de seguridad a quienes culpar)

¡Cada producto es efectivo si lo aplicas de la manera correcta!

En mi opinión, SIEM es un producto integral en Seguridad. Debe implementar el dispositivo IPS \ anti-virus \ DLP \ firework y así sucesivamente antes de SIEM. Después de recopilar registros de estos dispositivos, lo que debe hacer es calmarse y Analízalo! Paciente y absorción es importante.

Según una firma de investigación de negocios Frost & Sullivan, la tecnología SIEM tiene una demanda muy alta y la subsección de mayor crecimiento del segmento de seguridad, con una tasa creciente del 21% al año.

Sí lo es.

Considere una red en la que millones de transacciones se realizan a diario y pocos de ellos pueden ser maliciosos y son tan inteligentes que pueden eludir las políticas de dispositivos de red escritos como el firewall, etc.

por lo que necesitamos una plataforma donde podamos analizar los datos en tiempo real y tomar una decisión si es un ataque malicioso o no. SIEM es la mejor plataforma para realizar análisis de datos en tiempo real por motivos de seguridad y de negocios.

Supongo que muchas respuestas han abordado el área clave que se ha preguntado en la pregunta. No hay duda de que SIEM es una tecnología de seguridad efectiva. Sin embargo, debo decir que solo la implementación de SIEM no resolverá sus problemas.

Cualquier organización que haya implementado SIEM o esté pensando en implementar SIEM debe prestar atención a las personas que están involucradas con SIEM. La gente debe estar bien entrenada en la herramienta y, especialmente, la planificación debe ser muy sólida. Es esencial enumerar la cantidad y el tipo de registros, infraestructura, servidores y aplicaciones empresariales para integrar con SIEM. Porque si no está planeado para el inicio y seguimos integrando todos los registros y cada bit del servidor en SIEM, entonces no será de ninguna utilidad.

Yo diría que SIEM es un proceso que funciona en una regla simple, es decir, Basura en Basura fuera … 🙂 Si la entrada son registros de calidad, entonces serán posibles las alertas de calidad y el monitoreo.d