Cybersecurity monitoring with SIEM

Las empresas están cada vez más expuestas a las ciberamenazas. Lo dice todo el mundo, y ahora lo confirma la Asociación de Auditoría y Control de Sistemas de Información (ISACA) en su último estudio, al reconocer que más del 50% de las empresas de todo el mundo han aumentado los niveles de riesgo de su organización en el último año. Por ello, cada vez son más las empresas que apuestan por un Centro de Operaciones de Seguridad (SOC) para prevenir, supervisar y controlar la seguridad de las redes e Internet.

Centro de Operaciones de Seguridad (SOC)

Un SOC es una unidad específica encargada de la prevención, supervisión y control de la seguridad informática. Los servicios que presta van desde el diagnóstico de vulnerabilidades hasta la recuperación en caso de catástrofe, pasando por la respuesta a incidentes, la neutralización de ataques, los programas de prevención, la gestión de riesgos y las alertas antivirus informáticas.

Equipado con servidores, cortafuegos, sistemas de detección de intrusos, software antivirus y otros sistemas especializados, un SOC supervisa la actividad de la red y de Internet en tiempo real, 24 horas al día, 7 días a la semana. Los eventos de datos son analizados y rastreados por expertos certificados en normas de seguridad.

En Cloud Levante, una de las principales herramientas utilizadas por nuestro equipo para realizar esta supervisión exhaustiva es SIEM.

SIEM: el corazón del SOC

SIEM hace referencia a dos conceptos, la Gestión de Eventos de Seguridad (SEM) y la Gestión de Información de Seguridad (SIM).

El primer concepto, SEM, se refiere a la monitorización y correlación de eventos en tiempo real y el segundo, SIM, se refiere al almacenamiento de los datos obtenidos, su análisis y la generación de informes en base a los resultados obtenidos.

En este sentido, SIEM ofrece una visión global de la seguridad informática de la empresa y tiene como función principal detectar comportamientos anómalos para prevenir a la organización de amenazas informáticas.

Configurando SIEM

Para configurar nuestro SIEM, primero instalamos un agente en las máquinas que queremos automatizar. Este agente se encarga de recoger información del sistema, protegerlo con un EDR o integrarlo con el Antivirus que ya esté en uso, y enviar toda la información al SIEM para su posterior análisis y respuesta.

Nuestra configuración permite obtener la información necesaria, disponiendo de una visualización completa de los puntos de la red. Esto nos permitirá reaccionar en tiempo real ante cualquier incidencia, pero también aplicar medidas de mejora cuando percibamos que el rendimiento de un determinado servicio no es el esperado. Algunos de los datos que podemos obtener con la configuración SIEM son:

Análisis de eventos de seguridad del host.

Captura de pantalla 2023-01-23 a las 11.22.43

Análisis de eventos de seguridad de la red.

Captura de pantalla 2023-01-23 a las 11.25.32

Reputación y análisis de direcciones IP con las que se establecen comunicación.

Captura de pantalla 2023-01-23 a las 11.26.40

Visualizador de eventos de línea de tiempo.

Captura de pantalla 2023-01-23 a las 11.34.52

Análisis detallado y en profundidad de eventos.

Captura de pantalla 2023-01-23 a las 11.35.35

Puedes realizar consultas a grandes volúmenes de datos para establecer correlaciones entre determinados parámetros y una búsqueda más profunda.

Captura de pantalla 2023-01-23 a las 11.55.10

Dashboards para una mejor visualización de los datos y recogida de métricas.

Alta flexibilidad para recoger información de distintos tipos de software, servicios, sistemas operativos o plataformas cloud.

Captura de pantalla 2023-01-23 a las 11.55.50

Integración de Host Intrusion Detection System (IDS) en Elasticsearch

Sistema de vigilancia y detección de actividades sospechosas. Nos envía una alerta cuando se detecta para que podamos investigar el problema y tomar las medidas adecuadas para remediar la amenaza.

Captura de pantalla 2023-01-23 a las 11.43.31

Diversos dashboards para la visualización de agentes que ejecutan el IDS.

Captura de pantalla 2023-01-23 a las 11.45.10

Escaneos de vulnerabilidades.

Captura de pantalla 2023-01-23 a las 11.46.49

Mitre ATT&CK framework

Captura de pantalla 2023-01-23 a las 11.48.03

Cloud Levante cuenta con técnicos especializados en ciberseguridad, utilizando Elastic Security en Elastic Cloud como herramienta de SIEM. Pero adaptando las funcionalidades a cada proyecto para ofrecer soluciones Adhoc.

Nuestro equipo técnico siempre está preparado para ayudar a empresas a iniciar el proceso de transformación digital y proteger al máximo los datos críticos para el negocio.

Si necesitas asesoramiento en esta o cualquier otra área, contacta con nosotros.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cybersecurity monitoring with SIEM

Enviar comentario Cancelar la respuesta