Un año más de la publicación del cuadrante mágico de Gartner para SIEM, nuestra herramienta estrella de la línea de Ciberseguridad soportada en Datos.

Mientras actualizamos nuestra herramienta de funcionalidades de SIEM que publicamos en el año 2020, he decidido compartir algunas conclusiones de la evolución de este servicio y lo que posicionan los fabricantes como nuevas funcionalidades o funcionalidades por defecto de una solución SIEM.

Funcionalidades básicas

Las soluciones SIEM se definen como herramientas que apoyan la función de Ciberseguridad a cubrir las siguientes necesidades de los clientes:

    • Recolección de logs de eventos de ciberseguridad y telemetría en tiempo real para la detección de amenazas y casos de uso de cumplimiento.
    • Análisis de telemetría en tiempo real y sobre un periodo de tiempo para detectar amenazas y otras actividades de interés.
    • Investigación de incidentes para determinar la severidad y el impacto al negocio.
    • Reporte de dichas actividades.
    • Resguardo de logs y eventos relevantes.

Aunque la fuente principal de eventos son los logs, comienza a ser importante el procesamiento de telemetría como flows o paquetes. Adicionalmente, el contexto mediante enriquecimiento de información de usuarios, activos, amenazas y vulnerabilidades con el propósito de evaluar, priorizar y acelerar la investigación, se vuelve fundamental.

La tecnología debe ofrecer análisis de eventos y telemetría en tiempo real para el monitoreo de seguridad, análisis avanzado del comportamiento de usuarios y entidades, analítica de amplio rango para análisis histórico, soporte para la investigación y respuesta a incidentes y reportes (requerimientos de cumplimiento).

Nuevas capacidades

Hace tiempo que el SIEM se convirtió en una solución idónea para la detección y respuesta ante incidentes de seguridad. El año pasado, se introdujeron nuevas capacidades como la analítica avanzada de datos y la automatización y orquestación de procesos. Ahora el foco se encuentra en 3 elementos clave:

    • Arquitectura Híbrida: para cubrir necesidades de procesamiento en Nube, procesamiento OnPremise y monitoreo de SaaS y Proveedores Cloud.
    • Funcionalidades Colaborativas: para mejorar los procesos de investigación y respuesta a incidentes.
    • Servicios Administrados: para apoyar a las organizaciones con una operación eficiente de la función de Ciberseguridad, creación de nuevos casos de uso y modelos de analítica, cacería de amenazas e investigación, mejora continua en la investigación y respuesta a incidentes.

Conclusiones

El SIEM llegó para quedarse. Encontramos en la integración de soluciones como UEBA o SOAR, una evolución del SIEM con nuevas capacidades en la detección y respuesta para la función de Ciberseguridad.

SIEM Nativo Cloud e híbrido. La arquitectura fundamental de la solución SIEM, es un SIEM nativo Cloud con capacidades SaaS, integraciones y visibilidad para procesamiento en nube, on premise y servicios Cloud (Office 365 o SalesForce, entre otros).

No solo la herramienta, los clientes necesitan MDR. La conclusión del análisis muestra que los fabricantes están buscando canales u ofreciendo capacidades MDR (Managed Detection & Response) debido a que la seguridad no es solo la parte tecnológica, sino también los procesos y el equipo.

¿Te interesa saber más sobre ello? ¡Reúnete conmigo!Agendar sesión

 

>_

Otros Blogs

Isotipo A3Sec