Conceptos básicos

© Ediciones Roble, S.L.

 Indice
Introducción a las tecnologías SIEM 3
I. Introducción 3
II. Objetivos 3
III. Conceptos básicos 3
IV. Modelo de capas 6
V. SOC 7
5.1. SIEM Intelligence 8
5.1.1. EUBA/UBA 8
5.1.2. Machine Learning 8
5.1.3. Threat Intelligence Feeds 9
5.1.4. Threat Hunting 9
VI. Resumen 10
Recursos 11
Bibliografía 11
Glosario. 11

2/12
 Conceptos básicos

Introducción a las tecnologías SIEM

I. Introducción
En este módulo se pretende enseñar al alumnado los conceptos básicos del SIEM (del inglés, Security
Information and Event Management), su arquitectura, la funcionalidad de cada una de las capas que
compone el proceso, la necesidad de su implantación en una empresa y el papel que desempeña dentro de
un Centro de Operaciones de Seguridad (Security Operation Center).

Con el objetivo de controlar la seguridad de la información presente en la multitud de dispositivos

existentes en las grandes organizaciones, las tecnologías SIEM son una herramienta muy usada.

Debido al elevado volumen de datos generados por las diversas fuentes, es necesario llevar a cabo una
monitorización para evitar constantes amenazas que afecten a la continuidad de negocio.

Imagen 2.1. Descripción gráfica de componentes del funcionamiento de un SIEM.

Fuente: CyberSOC Academy.

II. Objetivos

En esta unidad conoceremos los conceptos básicos de un SIEM, su arquitectura, sus capas y la
funcionalidad de cada una de ellas, por qué es necesaria su implantación en una empresa y el papel
que desempeña dentro de un SOC.

Durante el estudio de esta unidad, estudiaremos una serie de herramientas que añaden
funcionalidades y capacidades de detección que los SIEM no proveen de forma nativa y que
ayudan a su funcionamiento.

III. Conceptos básicos

3/12
 Conceptos básicos

Se van a introducir una serie de conceptos básicos para entender bien lo que en próximos capítulos
veremos.

¿Qué es una fuente de datos?

Todo sistema, aplicación o dispositivo que genere logs y que sean susceptibles de ser integrados en
el SIEM. Por ejemplo: Firewall, Proxy, DC (controlador de dominio).

¿Qué es una integración?

Es el proceso que se realiza para que se reciban/recojan los logs de las fuentes de datos y que estos
lleguen al SIEM, donde se procesarán, se les aplicarán las reglas de correlación y se almacenarán.

¿Qué es un archivo de log?

Es un fichero en el que se almacenan los logs de un equipo. En una integración, normalmente implica
que el sistema para tratar los logs leerá del fichero, le aplicará un parser y guardará dichos eventos.

¿Qué es syslog?

"Syslog es un estándar de facto para el envío de mensajes de registro en una red informática IP. Por
syslog se conoce tanto al protocolo de red como a la aplicación o biblioteca que envía los mensajes de
registro".1
1[Link]

Al final, y para lo que nos interesa, syslog es un protocolo de envío de datos entre equipos con IP.
Puede realizarse tanto por UDP como por TCP, el puerto por defecto es el 514, pero puede asignarse
otro puerto distinto.

Así que cuando nos referimos a un conector syslog, hablamos de un conector que está a la escucha
en cierto puerto a través del cual recibe los logs de la tecnología que corresponda.

¿Qué es un evento?

Un evento es todo registro generado en una fuente de datos que contiene información acerca de las
tareas o acciones realizadas por en el sistema. Dependiendo de la aplicación/sistema que genere el
evento, este será generado en un formato especifico de cada aplicación.

4/12
 Conceptos básicos

¿Qué es una regla de correlación?

Son una serie de condiciones que, en caso de cumplirse, desencadenan alguna acción. Como podría
ser lanzar una alerta o alimentar una lista de vigilancia.

Si se detecta un evento cuyo “Request Domain” está en una lista negra, dispara una alerta
para que se revise y se añada a una lista de supresión para que no vuelva a saltar en la próxima
hora.

¿Qué es un informe?

Consiste en una serie de tablas y/o gráficas obtenidas a partir de los elementos almacenado en el
SIEM tras aplicarles una serie de condiciones y agrupaciones.

Informe del TOP 10 de países en los que se geolocalizan las páginas web a las que acceden
los empleados de una empresa. Esto se puede obtener filtrando por los logs de Proxy/Firewall,
las peticiones salientes y agrupando por país.

¿Qué es un párser?

Son un conjunto de expresiones regulares que identifican los distintos campos de un log y los asigna
a los correspondientes campos de la tecnología SIEM donde se integren.

Ejemplo: logs sin parsear

CEF:0|Orange|TvSupervisor|||Kibana Request|Unknown| eventId=959 in=195 out=195
categorySignificance=/Suspicious categoryBehavior=/Authentication/Verify
categoryOutcome=/Success art=1520598358186 deviceSeverity=401 rt=1520594748000
src=[Link] Zones/RFC1918: [Link]-[Link] request=/ requestMethod=GET
cs2=0.001 cs1Label=request time cs2Label=response time ahost=col02mapr
agt=[Link] amac=18-66-DA-87-FC-2A av=7.7.0.8036.0 atz=Europe/Madrid
at=syslogng dvchost=mxfuthn3 dtz=Europe/Madrid _cefVer=0.1
aid=3YyNNmWEBABCAAxxfZAxJng\=\=

5/12
 Conceptos básicos

Ejemplo: logs parseados en Arcsight

Imagen 2.2. Logs parseados en ArcSight.

Fuente: captura de pantalla ArcSight.

¿Qué es un SIEM (Security Information and Event Management)?

Nació como la combinación de dos herramientas con poca relación entre sí.

SEM (Security Event Management): se encarga de gestionar los eventos de seguridad

generados por los diferentes sistemas de seguridad tales como IDS, FW, o IPs.
SIM (Security Information Management): su objetivo es ofrecer un control centralizado de los
estados del proceso de negocio, es decir, de los logs de información de todos los sistemas.

En resumen, es la solución compuesta por una serie de productos y servicios, enfocada a la gestión
en tiempo real de eventos de seguridad de redes. Los productos empresariales vendidos como SIEM,
suelen proporcionar funcionalidades adicionales, como herramientas para el almacenamiento de los
registros y generación de informes.

Algunas de las principales soluciones empresariales, que se verán en profundidad en próximos temas
con un análisis individual y una comparativa global a través del cuadrante de Gartner, son:

ArcSight
Splunk
IBM QRadar
McAfee ESM

IV. Modelo de capas

6/12
 Conceptos básicos

A continuación se resume la funcionalidad de cada capa y en su capítulo correspondiente se analizará

más en detalle el por qué de su uso. Además, tienen la obligación de cumplir las normativas existentes de
seguridad, gobernabilidad y auditoría.

Capa de recolección

Se basa en la agregación y administración de las fuentes (incluyendo redes, seguridad, servidores,

bases de datos o aplicaciones) proporcionando la capacidad de consolidar los datos monitoreados para
ayudar a evitar la pérdida de los acontecimientos importantes.

Existen tres maneras de recolectar la información: en tiempo real, planificada o mediante la instalación
de un agente.

Capa de almacenamiento

Su objetivo es, como el propio nombre indica, almacenar la máxima cantidad posible de información
(logs) para que sea procesada, lo que convierte a esta capa en un punto crítico de los SIEM.

Aunque, por ejemplo, se pueda descubrir la violación de la red en el momento en el que se

produzca la infracción gracias a la capacidad de monitorización en tiempo real de estos
sistemas, un largo plazo de retención de registros de datos es clave en la investigación forense.

Capa de correlación

Tiene por objeto el relacionar eventos generados en distintos dispositivos para, utilizando la
información recolectada en forma de eventos, inferer o detectar algún tipo de anomalía o actividad
sospechosa.

Capa de presentación

Son las herramientas para tomar los datos del evento y convertirlo en tablas informativas para ayudar
a ver patrones o identificar una actividad que no está siguiendo un patrón estándar, es decir, el análisis
automatizado de eventos correlacionados y la producción de alertas para notificar a los destinatarios de
los problemas inmediatamente.

V. SOC
El SIEM ayuda a introducir el concepto de Security Operation Center en la compañía, dado que las
alertas deben ser tratadas en tiempo y forma en función de su criticidad, lo que implica construir matrices
de escalado o procedimientos operativos.

7/12
 Conceptos básicos

Además, se encarga de todas las actividades encaminadas a garantizar la seguridad de las infraestructuras
y servicios de los clientes. Para ello, los expertos en seguridad cuentan con la información más actualizada
sobre las vulnerabilidades de seguridad y las últimas tendencias en ciberataques.

Los servicios ofrecidos engloban los relacionados con la operación y gestión técnica de la seguridad,
incluyendo la ejecución de todas las actuaciones preventivas, operación y configuración de los
dispositivos, respuesta ante incidentes, identificación de puntos de mejora en la seguridad de la
información, análisis y evaluación de riesgos para ofrecer la mejor respuesta ante posibles amenazas.

Como complemento a las tecnologías SIEM, han ido surgiendo una serie de herramientas que añaden
funcionalidades y capacidades de detección que los SIEM no proveen de forma nativa. Estas capacidades
son:

5.1. SIEM Intelligence

5.1.1. EUBA/UBA

Los EUBA o UBA, del inglés (Entitiy and) User Behaviour Analytics, son herramientas complementarias
a las soluciones SIEM – o que incluso forman parte de las mismas en forma de módulo añadido -, que se
utilizan para analizar el comportamiento de los usuarios y los componentes internos de la organización en
busca de amenzas, fallos y fraude.

Normalmente siguen un modelo basado en riesgo por entidades – entendiendo por entidades activos de
la organización en forma de equipos y usuarios – que se va incrementando en función de reglas.

La forma de trabajar con estas herramientas suele enfocarse de forma activa, de manera que en cierta
medida podrían considerarse como herramientas de Threat Hunting.

Algunos ejemplos de estas herramientas son:

Exabeam - [Link]

Securonix - [Link]

IBM QRadar UBA - [Link]

Splunk UBA - [Link]

[Link]

5.1.2. Machine Learning

También conocido en castellano como aprendizaje automático, es una rama de la Inteligencia Artificial
que consiste en el desarrollo de programas y técnicas para normalizar datos, analizarlos y aprender de ellos
para ser capaces de hacer predicciones.

8/12
 Conceptos básicos

A grandes rasgos, se trata de, aplicando una serie de algoritmos y con gran cantidad de datos de entrada
para los que conocemos la salida, “entrenar” a la herramienta de Machine Learning para encontrar las
relaciones de correlación que existen entre las entradas y salidas, de forma que sea capaz de producir con
un alto porcentaje de éxito la salida para nuevas entradas.

En el campo de la Seguridad de la Información, como en otros (Genética, Astronomía), es

especialmente potente, ya que la cantidad de datos de que se dispone es inmensa y cada vez crece más
deprisa.

Debido a la gran cantidad de datos empleada, también hace falta una alta capacidad de procesamiento, lo
cual nos lleva a las tecnologías Big Data, que son empleadas para llevar a cabo este tipo de procesos.

La mayoría de herramientas empleadas para estas tareas y que utilizan herramientas Big Data
están basadas en Apache Hadoop o derivados como Cloudera y Hortonworks.

Y es cada vez más habitual que los SIEM incorporen bien la capacidad de emplear clusters de
Hadoop como fuente de datos, como sería el caso de ArcSight con el EventBroker y Splunk que
es capaz de leer de cualquier cluster Hadoop; o bien que emplean Hadoop como almacenamiento,
como es el caso de Securonix.

5.1.3. Threat Intelligence Feeds

Se trata de fuentes de información relacionadas con la Ciberseguridad. El típico ejemplo serían las listas
de indicadores de compromiso (IOCs), con los que podemos, por ejemplo, alimentar un SIEM para
emplear dicha información para las reglas de correlación, informes y tareas de análisis.

Pueden ser de carácter público o privado, como podrían ser los IOCs internos de una empresa o de una
compañía de antivirus.

5.1.4. Threat Hunting

La mayor parte del temario se centra en el SIEM como una herramienta de seguridad reactiva, es decir,
esperamos a que la inteligencia desarrollada sobre las tecnologías de que se disponen y basada
principalmente en reglas, informes y dashboards, genere alertas de seguridad configuradas previamente.
Siendo estas en su mayoría automatizadas y estáticas y que desencadenan un análisis posterior, una vez ya
ha sucedido el ataque.

Sin embargo, hemos de tener en cuenta que los adversarios a los que nos enfrentamos – los atacantes -,
son personas e incluso organizaciones con gran financiación que evolucionan constantemente y sofistican
cada vez más sus ataques. De manera que, en muchas ocasiones, cuando se detecta un ataque ya es
demasiado tarde, y el daño ya está hecho (o al menos en parte).

Así pues, en muchas organizaciones se está realizando de forma activa la búsqueda de amenazas dentro
de la propia compañía. Esto no es algo que se haya inventado recientemente, sino el término con el que se
describen una serie de acciones y metodologías mediante las que se pretende localizar y para los ataques
que han sobrepasado el perímetro de seguridad lo antes posible. Y que, eso sí, cada vez están más
desarrolladas y extendidas.

9/12
 Conceptos básicos

Aunque para llevar a cabo Threat Hunting te puedes basar únicamente en el SIEM o incluso en
el uso de scripts y otras herramientas directamente desde la línea de comandos, hay varias
herramientas profesionales enfocadas a dicha tarea. Algunas de ellas son:

SQRRL
Endgame
Crowdstrike

VI. Resumen

En esta unidad hemos aprendido algunos conceptos básicos que nos servirán de ayuda a lo
largo del curso; entre ellos, hemos aprendido qué es una fuente de datos, un archivo de log o en
qué consiste syslog. También hemos profundizado en las tecnologías SIEM, conociendo su
principal objetivo, su arquitectura y las funcionalidades de cada una de sus capas.

En conclusión, podemos afirmar que un SIEM es una solución creada como la combinación de
un SEM y un SIM que está enfocada a la gestión en tiempo real de eventos de seguridad de redes.

Por último, hemos estudiado una serie de herramientas como el Machine Learning o los Threat
Intelligence Feeds que añaden funcionalidades y capacidades de detección que los SIEM no
proveen de forma nativa.

10/12
 Conceptos básicos

Recursos

Bibliografía
Crowdstrike: [Link]
Endgame: [Link]
Exabeam: [Link]
IBM QRadar UBA: [Link]
Securonix: [Link]
Splunk UBA: [Link]
[Link]
SQRRL: [Link]

Glosario.

Archivo de log: Fichero en el que se almacenan los registros o logs de un equipo. En una
integración, normalmente implica que el sistema, para tratar los logs, leerá del fichero, le aplicará
un parser y guardará dichos eventos.

EUBA/UBA (Entity and USer Behaviour Analytics): Herramientas complementarias a las

soluciones SIEM o que incluso forman parte de las mismas en forma de módulo añadido.

Evento: Todo registro generado en una fuente de datos que contiene información acerca de
las tareas o acciones realizadas por en el sistema.

Fuente de datos: Todo sistema, aplicación o dispositivo que genere logs y que sean
susceptibles de ser integrados en el SIEM. Por ejemplo: Firewall, Proxy o DC.

Informe: Serie de tablas o gráficas obtenidas a partir de los elementos almacenado en el SIEM
tras aplicarles una serie de condiciones y agrupaciones.

Integración: Proceso que se realiza para que se reciban/recojan los logs de las fuentes de
datos y que estos lleguen al SIEM, donde se procesarán, se les aplicarán las reglas de correlación
y se almacenarán.

11/12
 Conceptos básicos

Machine Learning (Aprendizaje automático): Rama de la Inteligencia Artificial que

consiste en el desarrollo de programas y técnicas para normalizar datos, analizarlos y aprender de
ellos para ser capaces de hacer predicciones.

Parser: Conjunto de expresiones regulares que identifican los distintos campos de un log y
los asigna a los correspondientes campos de la tecnología SIEM donde se integren.

Regla de correlación: Serie de condiciones que, en caso de cumplirse, desencadenan alguna

acción.

SIEM (Security Information and Event Management): En estos centros, por norma
general dotados de una buena infraestructura tecnológica, se realizan todas las labores de análisis,
prevención, monitorización, etc. de la seguridad informá[Link]ón compuesta por una serie de
productos y servicios, enfocada a la gestión en tiempo real de eventos de seguridad de redes.

SOC (Security Operation Center): Estas siglas hacen referencia a los centros de
operaciones de seguridad que, por norma general, están dotados de una buena infraestructura
tecnológica y en los que se realizan todas las labores de análisis, prevención, monitorización, etc.
de la seguridad informática. Estos centros ayudan a construir matrices de escalado o
procedimientos operativos. Además, se encargan de todas las actividades encaminadas a
garantizar la seguridad de las infraestructuras y servicios de los clientes.

Syslog: Estándar de facto para el envío de mensajes de registro en una red informática IP.

Threat Hunting: Búsqueda de amenazas de forma activa dentro de una compañía.

Threat Intelligence Feeds: Fuentes de información relacionadas con la ciberseguridad.

12/12