Los sistemas de ciberseguridad involucran muchas tecnologías y pueden construirse con varias opciones, pero las grandes empresas deberían implementar una solución de gestión de información y eventos de seguridad (SIEM) para aumentar la seguridad general del sistema.

Un SIEM es una solución de software diseñada para documentar la actividad de la red, almacenar registros de seguridad y descubrir eventos de seguridad. La tecnología es un componente central de muchos sistemas de operaciones de ciberseguridad y es increíblemente útil para almacenar información de la red y gestionar incidentes de seguridad.

Dado que los sistemas de ciberseguridad son altamente complejos, especialmente para las empresas, las herramientas pueden ser difíciles de delimitar, implementar y eventualmente desplegar. Esta guía paso a paso ayudará a los equipos que están considerando un nuevo SIEM a documentar adecuadamente la implementación.

La implementación de cada empresa será diferente, pero estos pasos son cruciales para un rendimiento efectivo después del despliegue. Las siguientes cuatro áreas clave son una parte importante de la planificación de un proceso de implementación e integración completamente integrado.

Mejores prácticas para la implementación de SIEM

1. Definir el proyecto y los requisitos

El primer paso para lanzar un proceso de implementación de SIEM es planificar el cronograma del proyecto. Esto implica delinear el alcance del proyecto junto con sus recursos informativos, presupuestarios y físicos necesarios. Aquí, las empresas deben definir sus objetivos e identificar todos los recursos necesarios.

La mayoría de las empresas tienen objetivos similares, todos los cuales se relacionan con la construcción de un sistema de gestión de seguridad de red centralizado en el punto de un nuevo SIEM. Las empresas necesitan establecer reglas básicas, identificar los requisitos de cumplimiento y políticas necesarios, y estructurar su plan de gestión de SIEM posterior a la implementación.

Los productos SIEM requieren conexiones a prácticamente toda la infraestructura de red y activos de software para un rendimiento óptimo, por lo que definir las fuentes de registros es un buen lugar para comenzar. Los registros provienen de diferentes ubicaciones a lo largo de la red de su empresa.

Estos son algunos componentes básicos que la mayoría de las empresas incluyen al delimitar sus requisitos de SIEM y fuentes de registros:

2. Investigar productos

La investigación de productos es un paso que cada empresa aborda de manera única. Hay tres recursos informativos principales a considerar antes de tomar una decisión final sobre un SIEM para su empresa.

Análisis de proveedores — El análisis de proveedores se realiza típicamente de dos o tres maneras. La primera es utilizando información de los propios proveedores. Una serie de recursos en línea, así como los propios motores de búsqueda, pueden ayudar a identificar rápidamente a los principales proveedores de SIEM. Las empresas pueden luego contactar al proveedor para obtener más información en relación con su situación específica.

Las firmas de analistas de software y las pruebas empíricas también pueden utilizarse como recursos para la evaluación. Los proveedores de servicios de investigación y pruebas producen información sobre mercados y herramientas. Solo tenga cuidado, ya que algunos de estos proveedores pueden carecer de transparencia en sus criterios de evaluación y calificación.

Reseñas de productos — Los sitios de reseñas como G2 son excelentes lugares para leer relatos de primera mano sobre herramientas SIEM utilizadas en el mundo real. Las empresas pueden visitar fácilmente la categoría SIEM de G2 y ver los productos que varían en popularidad y satisfacción. También proporcionamos calificaciones para características individuales e información relacionada con el rol del usuario, el tamaño de la empresa y la industria.

Evaluación de casos de uso — Evaluar el caso de uso en relación con su empresa probablemente requerirá comunicación con los proveedores en su lista corta de productos potenciales. Muchos de ellos proporcionarán escenarios específicos de la industria, estudios de caso y demostraciones de productos a su solicitud.

Los equipos que cumplan con los tres requisitos obtendrán una lista de productos potenciales. Esta lista facilitará la elección de una solución basada en cómo cada herramienta cumpliría o no con los requisitos que ya han delineado y los recursos que tienen disponibles.

3. Planificación de la implementación

Una vez que se ha seleccionado un producto, esboce una serie de procedimientos de implementación para asegurar una transición suave y efectiva. Estos son algunos componentes para incluir en su plan.

Diseñar arquitectura — Diagrame todas las fuentes de datos relacionadas con las fuentes de registros y entradas de datos. Despliegue colectores de información para asegurar que todas las fuentes de registros estén conectadas. Además de la agregación de datos de todos sus dispositivos conectados, los sistemas SIEM integran tanto datos de amenazas y vulnerabilidades internas como de terceros. Los sistemas de almacenamiento y alerta también aseguran un funcionamiento adecuado después del despliegue.

Crear reglas — Asegúrese de que sus motores de correlación estén funcionando con políticas básicas y determine las reglas y políticas más personalizadas para implementar a largo plazo. Estas reglas están destinadas a optimizar la documentación y las alertas sin dañar el rendimiento de la red. También deben personalizarse para cumplir con cualquier requisito de cumplimiento necesario previamente delineado.

Definir proceso — Antes del despliegue, ponga en marcha un plan de transferencia para transferir el control del equipo de implementación al equipo de operaciones de seguridad o gestión de TI. Ajuste de acuerdo con las capacidades de personal de su empresa para asegurar que los equipos puedan gestionar efectivamente el SIEM en el futuro.

Cualquier otro proceso de gestión a largo plazo también debe delinearse. Las empresas deben capacitar al personal en la gestión general de SIEM, así como en los procesos de registro y planes de gestión de datos de su equipo. Puede que necesite ajustarse para evitar la falta de personal, tasas de registro inmanejables y problemas de capacidad de almacenamiento.

4. Despliegue y revisión

A medida que el despliegue se convierte en una realidad, deben llevarse a cabo algunas acciones inmediatas. Aquí está en qué enfocarse una vez que un nuevo SIEM está operacionalizado.

Colección — Examine los sistemas SIEM recientemente implementados para asegurar que los datos se recolecten y encripten adecuadamente. Dependiendo de su solución, los sistemas basados en agentes deben ser examinados y monitoreados durante el despliegue preliminar para asegurar que estén recolectando datos adecuadamente. Aquellos que implementen soluciones sin agentes simplemente deben asegurarse de que todos los puntos de monitoreo se comuniquen correctamente con el SIEM.

Almacenamiento — Una vez que la información se está recolectando adecuadamente, los equipos deben asegurar que todas las actividades, registros y eventos se almacenen correctamente. Las empresas que utilizan sistemas de almacenamiento externos deben asegurarse de que las transferencias e integraciones estén aseguradas y funcionales, que las bases de datos estén correctamente formateadas y que la información sea consultable una vez almacenada.

Pruebas — Pruebe el sistema para visualizar los dispositivos conectados y mostrar a los planificados. Los usuarios pueden probar una nueva solución SIEM simulando eventos. El modelado de amenazas y las pruebas simuladas deben llevarse a cabo. Estas imitan amenazas de seguridad del mundo real para verificar que todas las operaciones sean funcionales. Los equipos también deben comparar los datos sobre eventos correlacionados y severos con sus cifras previas a la implementación.

Una vez que se completan los procesos de prueba y revisión, los equipos de implementación deben transferir el control a los equipos de seguridad para la gestión a tiempo completo.

Consejos post-implementación para la gestión de SIEM

Las soluciones SIEM requieren actualizaciones y monitoreo continuos. Los equipos deben seguir probando sus soluciones contra los últimos tipos de ataques. Cualquier actividad para probar y reducir falsos positivos también es prudente.

Los equipos deben mantener su SIEM conectado a fuentes de datos de amenazas, como fuentes de inteligencia de amenazas y honeypots, para asegurarse de que estén preparados para identificar todo tipo de amenazas emergentes, incluso aquellas no presentes durante la implementación.

Los ajustes y actualizaciones son inevitables, y las políticas probablemente evolucionarán. El proceso de gestión es tan complicado como el proceso de implementación. Si sigue estos pasos y monitorea continuamente el rendimiento del SIEM, su red, infraestructura de TI y negocio en su conjunto estarán mejor.