Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Prepare su arquitectura SIEM para el futuro

¿Está su SIEM listo para enfrentar el futuro? ¿O es hora de una afinación importante o al menos algunos ajustes alrededor de los bordes? Aprenda cómo abordar su evaluación y actualizaciones SIEM.

Los productos gestión de eventos e información de seguridad (SIEM) están evolucionando para aprovechar el aprendizaje...

automático; integrarse mejor con otros controles de seguridad empresarial; e identificar actividades sospechosas que involucran una gama cada vez más amplia de hosts, servicios, aplicaciones y redes. Aunque mantenerse al día con este ritmo puede parecer inútil, hay pasos que puede tomar hoy para asegurarse de que su arquitectura SIEM estará preparada para aprovechar al máximo los productos del futuro. Aún mejor, estos mismos pasos pueden mejorar el rendimiento de su SIEM ahora.

Considere seguir alguno de estos consejos si aún no lo ha hecho.

Estímulo de datos

Mejore la calidad de los datos que se introducen en el SIEM. Si las entradas del SIEM son incompletas, inexactas o incluso lentas, la toma de decisiones del SIEM se verá afectada negativamente. Asegúrese de que todas las fuentes de registro informen puntualmente los eventos al SIEM y que cada fuente registre los detalles necesarios para cada tipo de evento de seguridad de interés. Corrija las deficiencias que encuentre y despliegue los agentes SIEM en los hosts según sea necesario para recopilar información adicional que los servicios de registro nativos de los hosts no pueden. Finalmente, asegúrese de que las marcas de tiempo estén sincronizadas en todas las fuentes de registro para ayudar en la correlación.

Información necesaria

Asegúrese de que el SIEM tenga la información necesaria disponible para comprender verdaderamente la importancia de los eventos y correlacionar los eventos entre sí. Tener contexto es absolutamente vital para esto. La arquitectura SIEM en sí misma y las personas que la usan necesitan acceso inmediato a conocimientos específicos de la organización para proporcionar ese contexto. Por ejemplo, ¿qué propósito tiene cada host? ¿Donde está localizado? ¿Qué software utiliza? ¿Qué servicios presta? ¿Qué vulnerabilidades tiene? ¿Cómo debe usarse? ¿Cómo debería estar interactuando con otros anfitriones? Hay muchas otras preguntas en este sentido que su SIEM y sus analistas de SIEM deberían poder responder según se les pida.

Arquitectura SIEM personalizada

Personalice el SIEM para que sea compatible con los servicios y aplicaciones internos que necesitan sus eventos de seguridad monitoreados. Por ejemplo, su organización puede haber escrito sus propias aplicaciones de negocios que utilizan las bases de datos de sus clientes. Es importante monitorear los eventos de seguridad que involucran estas aplicaciones, pero el SIEM no entenderá lo que ve a menos que lo eduque. Hay una gran diferencia entre un SIEM que ve un código 427 y un SIEM que entiende que un código 427 significa que alguien está descargando una copia de una base de datos.

Afinamiento de SIEM

Reduzca los falsos positivos y negativos de su SIEM ajustando la propia arquitectura de SIEM. Por ejemplo, en lugar de ignorar y eliminar las alertas que no son importantes en su entorno, desactive las alertas y simplemente registre la información en su lugar. Ajuste los umbrales y otros ajustes de configuración de las reglas de SIEM para tener en cuenta mejor las características únicas de su entorno. Para las alertas deshabilitadas que serían útiles si tuvieran tasas aceptables de falsos positivos y negativos, ¿puede ajustar el SIEM para lograr esas tasas? Además, determinar las circunstancias y condiciones para registrar eventos en lugar de activar alertas o realizar acciones automáticas para detener una posible actividad maliciosa en curso es clave para acortar los tiempos de respuesta y reducir el impacto de los incidentes.

Si trabaja para reducir los falsos positivos y negativos para su SIEM, está mejor preparado para enseñar a las futuras tecnologías de aprendizaje automático qué es malicioso y qué es benigno.

Los ajustes, tanto grandes como pequeños, ayudarán a preparar su arquitectura SIEM para satisfacer las demandas futuras. Y también son beneficiosos a corto plazo.

Este artículo se actualizó por última vez en octubre 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close