SIEM
¿Qué es SIEM?
SIEMPlataforma que agrega, normaliza y correlaciona telemetría de seguridad de toda la organización para detectar, investigar, cumplir y reportar.
Un SIEM (Security Information and Event Management) es la plataforma central de análisis de registros del SOC. Ingiere logs y telemetría de cortafuegos, endpoints, proveedores de identidad, API de la nube, aplicaciones y sensores de red, los normaliza y los almacena para que reglas de correlación, líneas base estadísticas y modelos de aprendizaje automático generen alertas priorizadas. Los SIEM modernos (Splunk, Microsoft Sentinel, Elastic, Chronicle, QRadar) también admiten detection-as-code, UEBA, enriquecimiento con threat intelligence e integración con SOAR para respuesta automatizada. El SIEM es el sistema de registro para investigaciones, cumplimiento y retención forense de largo plazo.
● Ejemplos
- 01
Microsoft Sentinel correlacionando fallos de inicio de sesión en Azure AD con alertas de EDR para detectar password spraying.
- 02
Una búsqueda de correlación en Splunk que se dispara cuando una cuenta de servicio inicia sesión desde un país inusual.
● Preguntas frecuentes
¿Qué es SIEM?
Plataforma que agrega, normaliza y correlaciona telemetría de seguridad de toda la organización para detectar, investigar, cumplir y reportar. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa SIEM?
Plataforma que agrega, normaliza y correlaciona telemetría de seguridad de toda la organización para detectar, investigar, cumplir y reportar.
¿Cómo defenderse de SIEM?
Las defensas contra SIEM combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.