Configurar alertas
La razón principal para tener un SIEM moderno es el monitoreo sofisticado en tiempo real de sus sistemas. Pero eso tiene poco valor a menos que un humano esté monitoreando el sistema en busca de alertas o notificaciones (en forma de correos electrónicos, mensajes de texto o notificaciones automáticas a dispositivos móviles).
El problema con las alertas y notificaciones, como sabe cualquier usuario de correo electrónico, es mantener el volumen manejable. Si los usuarios reciben demasiadas notificaciones, las desactivarán o las ignorarán. Si son muy pocos, es posible que se pasen por alto amenazas críticas. Busque flexibilidad en la configuración de alertas, incluidas reglas, umbrales (es decir, el sistema estuvo inactivo durante 15 minutos, 20 errores por minuto durante 10 minutos, etc.) y métodos de alerta (SMS, correo electrónico, notificaciones automáticas y webhooks).
Acceso basado en roles
Para grandes empresas con diversos segmentos comerciales, múltiples equipos de aplicaciones o ubicaciones geográficas dispersas, el acceso basado en roles es imperativo. Proporcionar a los administradores, desarrolladores y analistas acceso solo a los eventos de registro que necesitan no es solo una cuestión de conveniencia, sino también un requisito para el principio de privilegio mínimo y, en algunas industrias, ciertos mandatos regulatorios.
Los eventos capturados por un SIEM a menudo brindan un profundo nivel de detalle sobre la funcionalidad de las aplicaciones y servicios o incluso sobre cómo están configurados los dispositivos en su red. Obtener acceso ilícito a los datos de este evento puede beneficiar a los actores maliciosos que buscan infiltrarse en sus sistemas, de la misma manera que los ladrones se benefician al rastrear el objetivo antes de un atraco. Limitar el acceso de los usuarios a los datos de eventos SIEM es una buena práctica por una razón: limita el impacto de una cuenta comprometida y, en última instancia, ayuda a proteger su red en su conjunto.
Cumplimiento normativo
Muchas regulaciones de la industria, como HIPAA o las STIG (Guías de implementación técnica de seguridad) del Departamento de Defensa, por nombrar solo dos, no solo requieren el uso de un SIEM o una utilidad similar, sino que también especifican cómo se debe configurar la solución. Estudie en detalle los requisitos relevantes para su organización. Los aspectos a tener en cuenta incluyen períodos de retención, requisitos de cifrado (tanto para los datos en tránsito como para los datos en reposo), firmas digitales (para garantizar que los datos del evento no se modifiquen de ninguna manera) y obligaciones de presentación de informes. También tenga en cuenta que la mayoría de los regímenes de cumplimiento incluyen un elemento de auditoría o generación de informes, así que asegúrese de que su solución SIEM pueda generar la documentación o los informes adecuados para satisfacer a los auditores.
Correlación de eventos
Quizás la razón más importante para implementar SIEM es la capacidad de correlacionar registros de sistemas dispares (y/o integrados) en una sola vista. Por ejemplo, una única aplicación en su red podría estar compuesta por varios componentes, como una base de datos, un servidor de aplicaciones y la aplicación misma. El SIEM debería poder consumir eventos de registro de cada uno de estos componentes, incluso si están distribuidos en varios hosts, y correlacionar esos eventos en una sola secuencia. Esto le permite ver cómo los eventos dentro de un componente conducen a eventos dentro de otro componente.
El mismo principio se aplica a una red empresarial. En muchos casos, se pueden emplear registros de eventos correlacionados para identificar una escalada de privilegios sospechosa o para rastrear un ataque que afecta a varios segmentos de la red. Esta visión amplia se ha vuelto cada vez más relevante a medida que las organizaciones migran a la nube o implementan infraestructura basada en contenedores como Kubernetes.
Ecosistemas SIEM
SIEM depende de la conexión con otros sistemas de una variedad de proveedores. Por supuesto, existen estándares de intercambio de datos, desde archivos de registro basados en texto hasta protocolos como SNMP (protocolo simple de monitoreo de red) o Syslog. Si SIEM puede integrarse directamente (o mediante complementos) con otros sistemas, las cosas serán mucho más fáciles. Un SIEM con un ecosistema robusto y maduro le permite mejorar funciones como la recopilación, el análisis, las alertas y la automatización de eventos.
Además de las mejoras del sistema que se pueden obtener a través de un ecosistema SIEM, se deben considerar otros beneficios comerciales. Por ejemplo, un SIEM maduro a menudo creará demanda de capacitación, impulsará el apoyo comunitario e incluso ayudará a agilizar el proceso de contratación.
Interacción vía API
Un ecosistema que ofrece extensibilidad es excelente, pero no satisfará todas las diversas necesidades de todas las empresas. Si su negocio implica el desarrollo de software y, en particular, si su empresa ha invertido tiempo y esfuerzo en DevOps, la capacidad de interactuar con su SIEM mediante programación puede marcar una gran diferencia. En lugar de dedicar tiempo de desarrollo a la capacidad de registro por motivos de seguridad o depuración, SIEM puede ingerir, correlacionar y analizar datos de eventos de su código personalizado.
¿Necesito SIEM mejorado con IA?
SIEM parecería un caso de uso personalizado para el análisis respaldado por IA, y los proveedores no tienen reparos en implementar funciones basadas en IA. Generalmente, estas funciones se centran en análisis y alertas, pero esto significa mucho más que informes. Los sistemas SIEM habilitados para IA pueden integrarse con inmensas fuentes de datos en la nube de una variedad de proveedores y fuentes, conocimiento que se puede aprovechar para crear un contexto profundo en los datos de su evento sin mover un dedo. Este contexto es esencial para clasificar eventos, identificar cadenas de ataques y elaborar un plan de respuesta a incidentes. Tenga en cuenta que la pregunta sobre la IA puede estar vinculada a la nube o a la pregunta local. Las ofertas locales tienen el potencial de satisfacer sus necesidades con IA, pero pueden requerir que esas cargas de trabajo se trasladen a servicios en la nube.
¿Cuánto pagar por SIEM?
SIEM no es un área en la que quieras apretar demasiado el bolsillo. El costo es un factor en su decisión SIEM, por supuesto, pero calcularlo implica matices. Tampoco querrá verse atrapado en una situación en la que tome atajos para ahorrar dinero en su SIEM sólo para terminar siendo víctima de un ataque que podría haberse evitado. Las plataformas SIEM que se ofrecen como servicio en la nube casi siempre se ofrecen mediante suscripción. Pero su factura puede incluir cargos de uso, como el volumen de datos de eventos o la cantidad de puntos finales que se monitorean. Existen plataformas SIEM muy respetadas disponibles de forma gratuita bajo una licencia de código abierto, pero tenga en cuenta los costos ocultos, como el soporte, y asegúrese de que la solución satisfaga todas sus necesidades comerciales. El resultado final: una vez que haya reducido sus candidatos SIEM a aquellos que tienen las funciones que necesita, compare en detalle los cargos de suscripción y uso en los que probablemente incurrirá. Si prefiere una oferta más cara, considere cómo podría ganar eficiencia o reducir un poco la escala.