¿Qué es SIEM? Una guía para principiantes
SIEM es ahora una industria de $ 2 mil millones, pero solo el 21.9% de esas empresas obtienen valor de su SIEM, según una encuesta reciente.
Las herramientas SIEM son una herramienta importante parte del ecosistema de seguridad de datos: agregan datos de múltiples sistemas y analizan esos datos para detectar comportamientos anormales o posibles ciberataques. Las herramientas SIEM brindan un lugar central para recopilar eventos y alertas, pero pueden ser costosas, consumir muchos recursos y los clientes informan que a menudo es difícil resolver problemas con los datos SIEM.
Guía: 5 formas de su SIEM le está fallando (y qué hacer al respecto)
¿Qué es SIEM?
La gestión de eventos e información de seguridad (SIEM) es una solución de software que agrega y analiza la actividad de muchos recursos diferentes en toda su infraestructura de TI.
SIEM recopila datos de seguridad de dispositivos de red, servidores, controladores de dominio y más. SIEM almacena, normaliza, agrega y aplica análisis a esos datos para descubrir tendencias, detectar amenazas y permitir que las organizaciones investiguen cualquier alerta.
¿Cómo funciona SIEM?
SIEM proporciona dos capacidades principales para un equipo de respuesta a incidentes:
-
- Informes y análisis forense sobre incidentes de seguridad
- Alertas basadas en análisis que coinciden con un determinado conjunto de reglas, lo que indica un problema de seguridad
En su core, SIEM es un sistema de recopilación, búsqueda y generación de informes de datos. SIEM recopila inmensas cantidades de datos de todo su entorno en red, consolida y hace que los datos sean accesibles para los humanos. Con los datos categorizados y distribuidos al alcance de su mano, puede investigar las violaciones de seguridad de los datos con tanto detalle como sea necesario.
Capacidades de gestión de eventos e información de seguridad
Gartner identifica tres capacidades críticas para SIEM (detección de amenazas, investigación y tiempo para responder); hay otras características y funcionalidades que se ven comúnmente en el mercado de SIEM, que incluyen:
-
- Supervisión de seguridad básica
- Detección avanzada de amenazas
- Forensics & respuesta a incidentes
- Recopilación de registros
- Normalización
- Notificaciones y alertas
- Detección de incidentes de seguridad
- Flujo de trabajo de respuesta a amenazas
Principales herramientas SIEM
Estos son algunos de los mejores jugadores en el espacio SIEM:
Splunk
Splunk es una solución SIEM local completa que Gartner califica como líder en el espacio. Splunk admite el monitoreo de seguridad y puede proporcionar capacidades avanzadas de detección de amenazas.
Varonis se integra con Splunk a través de la aplicación Varonis DatAlert para Splunk.
IBM QRadar
QRadar es otro SIEM popular que puede implementar como un dispositivo de hardware, un dispositivo virtual o un dispositivo de software, según las necesidades y la capacidad de su organización.
QRadar puede integrarse con Varonis para agregar capacidades de detección de amenazas avanzadas. Busque la aplicación Varonis para QRadar
LogRhythm
LogRhythm es un buen SIEM para organizaciones más pequeñas. Puede integrar LogRhythm con Varonis para obtener capacidades de respuesta y detección de amenazas.
SIEM en la empresa
Algunos clientes han descubierto que necesitan mantener dos soluciones SIEM separadas para obtener el máximo valor para cada propósito, ya que el SIEM puede ser increíblemente ruidoso y consumir muchos recursos: generalmente prefieren uno para la seguridad de los datos y otro para el cumplimiento.
Más allá del caso de uso principal de SIEM de registro y administración de registros, las empresas usan su SIEM para otros propósitos. Un caso de uso alternativo es ayudar a demostrar el cumplimiento de normativas como HIPAA, PCI, SOX y GDPR.
Las herramientas SIEM también agregan datos que puede utilizar para proyectos de gestión de capacidad. Puede realizar un seguimiento del crecimiento del ancho de banda y los datos a lo largo del tiempo para planificar el crecimiento y el presupuesto. En el mundo de la planificación de la capacidad, los datos son clave y comprender su uso actual y las tendencias a lo largo del tiempo le permite administrar el crecimiento y evitar grandes gastos de capital como medida reaccionaria frente a la prevención.
Limitaciones de las aplicaciones SIEM como un ecosistema de seguridad de datos completa
Las aplicaciones SIEM brindan información contextual limitada sobre sus eventos nativos, y los SIEM son conocidos por su punto ciego en datos no estructurados y correos electrónicos.Por ejemplo, es posible que observe un aumento en la actividad de la red desde una dirección IP, pero no el usuario que creó ese tráfico o los archivos a los que se accedió.
En este caso, el contexto puede ser todo.
Lo que parece una transferencia significativa de datos podría ser un comportamiento completamente benigno y justificado, o podría ser un robo de petabytes de datos sensibles y críticos. La falta de contexto en las alertas de seguridad conduce a un paradigma de niño que lloró lobo: eventualmente, su seguridad se desensibilizará a las alarmas que suenan cada vez que se activa un evento.
Las aplicaciones SIEM no pueden clasifican los datos como confidenciales o no confidenciales y, por lo tanto, no pueden distinguir entre la actividad de archivos sancionada de la actividad sospechosa que puede dañar los datos del cliente, la propiedad intelectual o la seguridad de la empresa.
En última instancia, las aplicaciones SIEM son solo como capaces como los datos que reciben. Sin contexto adicional sobre esos datos, el departamento de TI a menudo se queda persiguiendo falsas alarmas o problemas insignificantes. El contexto es clave en el mundo de la seguridad de datos para saber qué batallas pelear.
El mayor problema que escuchamos de los clientes cuando usan SIEM es que es extremadamente difícil diagnosticar e investigar eventos de seguridad. El volumen de datos de bajo nivel y la gran cantidad de alertas provocan un efecto de aguja en un pajar: los usuarios reciben una alerta, pero a menudo carecen de la claridad y el contexto para actuar sobre esa alerta de inmediato.
Cómo Varonis Complementa SIEM
El contexto que Varonis aporta a SIEM puede marcar la diferencia entre una búsqueda de disparos o prevenir una violación de seguridad de datos importante.
Y ahí es donde entra en juego Varonis. Varonis proporciona contexto adicional a los datos que recopila un SIEM: lo que facilita la obtención de más valor de un SIEM mediante la creación de un contexto profundo, información y agregando inteligencia de amenazas a las investigaciones y defensas de seguridad.
Varonis captura datos de eventos de archivos de varios almacenes de datos, en las instalaciones y en la nube, para proporcionar quién, qué, cuándo y dónde de cada archivo al que se accede en la red. . Con la supervisión de Varonis Edge, Varonis también recopilará actividad de proxy web, DNS y VPN. Podrá correlacionar la actividad de la red con la actividad del almacén de datos para pintar una imagen completa de un ataque desde la infiltración a través del acceso a los archivos hasta la exfiltración.
Varonis clasifica los archivos no estructurados basándose en cientos de posibles coincidencias de patrones, incluyendo PII, números de identificación del gobierno, números de tarjetas de crédito, direcciones y más. Esa clasificación se puede ampliar para buscar propiedad intelectual específica de la empresa, descubrir información sensible y vulnerable y ayudar a cumplir con el cumplimiento de los datos regulados. Varonis lee los archivos en su lugar sin ningún impacto para los usuarios finales.
Varonis también realiza análisis de comportamiento del usuario (UBA) para proporcionar alertas significativas basadas en patrones de comportamiento aprendidos de los usuarios, junto con análisis de datos avanzados contra modelos de amenazas que inspeccionan patrones para amenazas internas (como exfiltración, movimiento lateral, elevación de cuentas) y amenazas externas (como ransomware).
Aspectos destacados de la integración
Varonis se integra con aplicaciones SIEM para brindar análisis de seguridad con contexto de datos para que las organizaciones puedan confiar en su estrategia de seguridad de datos. Los beneficios incluyen:
-
- Análisis listos para usar
- Paneles y alertas de Varonis integrados para una investigación simplificada
- Páginas de investigación específicas de alertas
- Información crítica resaltada de un vistazo, con información útil y un contexto enriquecido
- Integración en su flujo de trabajo SIEM
Cómo investigar un ataque con SIEM y Varonis
Estos datos contextuales que trae Varonis brindan a los equipos de seguridad un análisis significativo y alertas sobre la infraestructura, sin la sobrecarga adicional o el ruido de señal del SIEM. Los equipos de SOC pueden investigar más rápidamente al aprovechar SIEM con Varonis y obtener información sobre los activos más críticos que necesitan proteger: datos no estructurados y correo electrónico. Con la visibilidad adicional proporcionada por Varonis, obtiene una descripción general de un vistazo de lo que está sucediendo en sus almacenes de datos centrales, tanto en las instalaciones como en la nube. Puede investigar fácilmente a los usuarios, las amenazas y los dispositivos, e incluso automatizar las respuestas.
(Haga clic para ampliar)
Cuando haces clic en el evento de alerta de Varonis en tu SIEM, se te lleva al panel de alertas de Varonis para la alerta que estás investigando. Desde aquí, puede ver que esta alerta está relacionada con otras cuatro alertas. Cualquiera de ellos es problemático, pero como todos están conectados, es una imagen mucho más clara y bien diseñada de un ciberataque.
(Haga clic para ampliar)
Esta alerta nos dice que esta cuenta de BackupService cargó datos en un sitio web de correo electrónico externo.
(Haga clic para ampliar)
Esta alerta nos dice que la cuenta BackupService nunca antes ha accedido a Internet, lo que hace que el hecho de que la cuenta haya cargado datos al correo electrónico sea mucho más sospechoso.
Ese es solo el comienzo de la investigación de alertas de ciberseguridad con Varonis y su SIEM. Varonis puede iniciar un script para deshabilitar la cuenta de usuario y cerrar el ataque tan pronto como se detecte, en cuyo caso, ¡es posible que ese hacker no haya podido acceder a los archivos de nómina!
Con el contexto que tiene a su disposición, puede responder rápidamente y administrar las alertas que recibe en su SIEM.
Los analistas de seguridad pasan incontables horas para recibir alertas significativas de SIEM: afinar casos de uso, crear reglas y agregar fuentes de datos: Varonis ofrece una ventaja inicial con modelos de análisis listos para usar, paneles intuitivos y alertas inteligentes.
OK, ¡estoy listo para comenzar!
Si ya está usando un SIEM, es simple agregar Varonis y aprovechar más su inversión SIEM. Si está buscando iniciar su plan de seguridad de datos, comience con Varonis y luego agregue su SIEM.
Una vez que tenga Varonis en su lugar, puede agregar su SIEM para la agregación de datos y monitoreo y alertas adicionales . Varonis le brinda más cobertura de seguridad de datos inicial, y agregar un SIEM hará que Varonis y su SIEM sean más capaces de correlacionar y almacenar datos para análisis y auditoría.
Vea un seminario web sobre ciberataques en vivo para ver cómo Varonis aporta contexto a sus datos SIEM.