A medida que evoluciona la ciberseguridad, también lo hacen los métodos y el alcance de los ataques. Los equipos de SecOps se enfrentan constantemente al reto de proteger los recursos de una organización frente a las amenazas internas y externas. Aunque las plataformas SIEM intentan proporcionar una visión integral de la posición de seguridad de la empresa e información sobre los incidentes y las anomalías, las plataformas de gestión de logs se han diseñado principalmente para recopilar todo tipo de datos, así como para proporcionar capacidades de almacenamiento, búsqueda, agrupación y visualización avanzadas.

Las soluciones de gestión de logs y las de gestión de eventos e información de seguridad (SIEM) suelen ser complementarias y, a menudo, competir entre ellas. No obstante, depende del tipo de solución. Las plataformas SIEM y las de gestión de logs coinciden en que ambas sirven para procesar datos de eventos y pueden satisfacer el mismo caso de uso. Por su parte, existen empresas que prefieren diseñar su propio SIEM a partir de una plataforma de gestión de logs moderna, lo que a menudo implica conocer muy bien los conceptos clave de la plataforma y sus entresijos.

Para conocer mejor estas herramientas, vamos a dividir sus funciones en tres categorías: funciones que predominan en un SIEM, funciones que predominan en un sistema de gestión de logs y ventajas de combinar ambas soluciones.

Definición de SIEM y de gestión de logs

¿Qué es un SIEM?

La gestión de eventos e información de seguridad (SIEM) es una herramienta que recopila datos de las máquinas de los sistemas de TI y, después, los analiza y correlaciona para detectar amenazas de seguridad.

¿Qué es el registro de SIEM?

El software SIEM recopila logs de diferentes fuentes y los envía a un sistema de registro central. La mayoría de plataformas SIEM cuentan con integraciones que les permiten recuperar logs de una amplia gama de sistemas. También puede existir un repositorio de aplicaciones o integraciones creado por la comunidad para sistemas menos conocidos.

Entre los tipos habituales de integraciones SIEM se incluyen:

• Agentes: los agentes de recopilación de logs del software SIEM se instalan en los servidores de origen y se ejecutan como servicios independientes. Estos agentes leen varios logs y envían los contenidos a la solución SIEM.
• Conexiones API: los logs se recopilan a través de sus endpoints de API mediante claves de API. Por lo general, son aplicaciones en la nube de terceros.
• Integraciones de aplicaciones: se encuentran en el lado del SIEM. Los datos que se envían desde los sistemas de origen pueden estar en cualquier formato y utilizar protocolos específicos. Estas integraciones pueden funcionar con los datos generados por el sistema de origen para que se puedan extraer los campos relevantes y crear visualizaciones adecuadas para cada caso de uso. Además, muchas integraciones cuentan con visualizaciones listas para usar para distintos casos de uso.
• Webhooks: este método suele emplearse para enviar datos desde la solución SIEM a otra plataforma mediante una regla. Un ejemplo de webhook sería una integración para Slack que envía una alerta a un canal concreto de esta plataforma para informar al equipo de un problema que requiere su atención.
• Scripts personalizados: los ingenieros pueden ejecutar scripts personalizados y programados que recopilen los datos de los sistemas de origen y, después, los formateen y envíen al software SIEM.

¿Qué es un sistema de gestión de logs?

Un sistema de gestión de logs (LMS) es una solución de software que recopila, organiza y almacena datos y logs de eventos de diferentes fuentes en una ubicación centralizada. Estos sistemas permiten a los equipos de TI, DevOps y SecOps determinar un punto único desde el que se puede acceder a todos los datos relevantes de aplicaciones y redes. Los datos deberían permitir búsquedas de inmediato, para que el equipo de TI pueda acceder a ellos cuando necesiten tomar una decisión sobre el estado de la red, la asignación de recursos o la seguridad.

Las herramientas de gestión de logs se utilizan para gestionar el elevado volumen de datos que se generan en toda la empresa. Estas herramientas ayudan a determinar:

• los datos y la información que se deben registrar;
• el formato en el que se deben registrar;
• el periodo de tiempo durante el que se deben guardar los datos del log;
• la forma en la que deben eliminarse o destruirse los datos cuando ya no sean necesarios.

Funciones y capacidades

Principales funciones de un SIEM:

• normas de correlación;
• capacidad para buscar cantidades limitadas de datos;
• ingesta selectiva de logs relacionados con la seguridad;
• funciones de creación de informes relacionados con la seguridad.

En teoría, los SIEM están diseñados para convertir los datos en alertas prácticas para el usuario. Sin embargo, la complejidad y los numerosos niveles de alerta ofrecen más un "montón de agujas" que "un pajar donde buscar la aguja". La implementación, el funcionamiento y el mantenimiento de un SIEM puede resultar caro debido a su complejidad inherente. Estos sistemas suelen comprometer la velocidad y la fidelidad, puesto que intentan ser exhaustivos en cuanto al alcance de sus funciones. Además, a través de sus modelos de precios, los SIEM a menudo ejercen presión para no incluir todas las fuentes de datos posibles.

Principales funciones de una solución de gestión de logs:

• reducción de los gastos generales para la gestión de logs;
• inclusión de todas las fuentes de datos (TI, seguridad, DevOps, análisis empresarial);
• arquitectura de alto rendimiento;
• retención de datos a largo plazo;
• amplias funciones de consulta, agrupación y visualización;
• casos de uso basados en necesidades y resultados;
• capacidades de análisis y correlación de datos.

Las herramientas de gestión de logs modernas enfatizan la incorporación de datos de una amplia gama de fuentes lo más rápido posible y ofrecen a los usuarios una forma integral de realizar búsquedas tan pronto como se introducen los datos. Se crean con el objetivo de recopilar, almacenar y comprimir eficazmente millones de eventos por segundo. Los puntos fuertes de estos sistemas abordan muchas de las preocupaciones que rodean a los SIEM. Además, ofrecen una imagen completa de todos los datos de un sistema por un coste menor, necesitan menos mantenimiento y el almacenamiento es más prolongado que con un SIEM.

Ventajas de combinar un sistema de gestión de logs con un SIEM:

• búsqueda flexible a escala combinada con alertas selectivas;
• capacidad para buscar en volúmenes de datos extremadamente grandes;
• cumplimiento de las normas y requisitos;
• proporcionar alertas y automatización;
• reducción del gasto al migrar grandes volúmenes de datos a la gestión de logs.

1.  Uso extensivo de datos de log

Ambas herramientas hacen un uso extensivo de los datos del log. El SIEM se centra en organizar, analizar y filtrar los datos antes de que lleguen al usuario final, mientras que la gestión de logs tiene como objetivo proporcionar acceso a todos los datos, así como un medio para filtrarlos y organizarlos con la ayuda de un lenguaje de búsqueda fácil de aprender.

2. Casos de uso de Threat Hunting

Ambos sistemas se pueden utilizar para el Threat Hunting. Los SIEM suelen tardar más en avisar a los usuarios de la presencia de amenazas y es posible que pasen algunas por alto porque no disponen de un conjunto de datos completo. Por su parte, la gestión de logs alerta a los usuarios con mayor velocidad y puede ofrecer un enfoque de Threat Hunting más práctico e integral.

3. Auditoría y creación de informes

Tanto las plataformas SIEM como las de gestión de logs tienen capacidades para auditorías e informes. No obstante, las plataformas SIEM suelen limitarse a datos centrados en la seguridad, mientras que las de gestión de logs incluyen un conjunto de datos mucho más amplio.

4. Alertas y automatización

Ambos sistemas proporcionan alertas y automatización. Impulsada por resultados de búsqueda en tiempo real, la gestión de logs tarda menos en compartir alertas y activar respuestas que los SIEM. Los SIEM ofrecen una forma más compleja de gestionar la automatización de respuestas, puesto que permiten elaborar manuales de respuestas automatizadas proporcionadas por el proveedor. Además, los SIEM suelen permitir el uso de muchas integraciones predefinidas con proveedores SOAR.

Descubre la plataforma con IA nativa líder del mundo para SIEM de nueva generación y gestión de logs

Mejora tu ciberseguridad con CrowdStrike Falcon®, la principal plataforma nativa de IA para SIEM y gestión de logs. Disfruta de un registro de seguridad a escala de petabytes, con opciones de implementación nativas de la nube o de autoalojamiento. Registra tus datos con una arquitectura potente, sin índices y sin cuellos de botella, que hace posible el Threat Hunting con más de 1 PB de ingesta de datos al día. Disfruta de capacidades de búsqueda en tiempo real para superar al adversario y lograr una latencia inferior a un segundo en consultas complejas. Aprovecha una visibilidad integral que consolida los datos para acabar con los silos y permitir a los equipos de seguridad, TI y DevOps detectar amenazas, monitorizar el rendimiento y garantizar el cumplimiento sin problemas en 3 mil millones de eventos en menos de 1 segundo.