Menta

Blog

¿Qué datos debes priorizar en tu SIEM?

Más datos de registro equivalen a más dinero. Sumo Logic cuenta con un modelo de precios destinado a optimizar los costos de datos, incluidos niveles de datos flexibles.

Un SIEM (Security Information and Event Management) es tan útil como los datos con los que se alimenta, por ello es importante conocer qué fuentes de datos debes establecer para obtener el máximo valor de la solución. Aprende a priorizar la información más relevante para mantenerte protegido.

Más datos de registro equivalen a más dinero y, como resultado, las empresas tienen que tomar una decisión difícil sobre qué fuentes de registro y qué datos tendrán prioridad. Sumo Logic cuenta con un modelo de precios destinado a optimizar los costos de datos, incluidos niveles de datos flexibles.
 
Por supuesto, los datos permiten mantener a tu empresa segura. Por ello, debes priorizar entre distintos tipos de datos en todo el tablero:

1. Registros de firewall. Los registros de firewall son una gran fuente de información detallada sobre el flujo. Con muchos de los firewalls de próxima generación (NG), puedes obtener datos sobre tipos de aplicaciones, amenazas, malware, C2 y otros aspectos igualmente interesantes.

Es importante que no limites estos datos a tus firewalls perimetrales. Si tienes firewalls entre tu segmento de usuarios y tu centro de datos, o incluso, microsegmentación dentro del centro de datos, envía todos estos registros a tu SIEM. El lugar donde se conectan tus usuarios finales es información fundamental desde la perspectiva del análisis de amenazas. 

2. Registros de filtrado web / proxy. Es posible que tu firewall NG ya incluya estos datos, pero si utiliza una solución de filtrado web o proxy independiente, estos registros también deben enviarse a tu SIEM. La información de IP, dominio y URL es, naturalmente, muy importante y puede brindarte información sobre las conexiones a ubicaciones incorrectas. Y si también puedes capturar la cadena User-Agent, esto te podría brindar mucha información sobre lo que podría estar sucediendo. 

3. Otros productos de seguridad de red. Es posible que algunos de estos ya estén cubiertos con un firewall NG, pero también es posible que tengas instalados sistemas independientes. Los registros de herramientas como Network IPS / IDS, Network DLP, Sandboxes, e incluso los datos de NetFlow del enrutador, son fuentes de inteligencia enriquecidas para el analista.

4. Sensores de red. Si cuentas con sensores de red que se ubican en los puertos TAP o SPAN, estos realizan una inspección profunda de paquetes en el tráfico norte / sur y este / oeste internamente. Estos sensores proporcionarán metadatos más profundos sobre los flujos de tráfico en comparación con una solución NetFlow tradicional. Pueden ver cosas como escrituras y eliminaciones de SMB (Server Message Block), información de encabezado HTTP y cadenas de agente de usuario, entre muchos otros detalles. Este detalle adicional es muy interesante cuando se busca una actividad anómala que podría indicar cosas como un movimiento lateral. 

5. Autenticación de Windows e información de AD (Active Directory). Como todos sabemos, los usuarios se mueven y, a menudo, obtienen nuevas direcciones IP. Si esto sucede en medio de un evento de seguridad, puede ser un desafío intentar retomar el camino y conectar los puntos. Al rastrear la información de autenticación del usuario, se pueden combinar diferentes tipos de registros en varias direcciones IP para obtener una mejor imagen de toda la actividad en torno al evento. 

6. Soluciones de seguridad para terminales. La información sobre terminales es útil en varios frentes:

Los datos de las soluciones Endpoint pueden ayudar a enriquecer las alertas existentes al brindarte datos de inventario como el sistema operativo, el usuario que inició sesión, las membresías de AD, la utilización de recursos, etc. 

Los datos de alerta también es información clave que debe ser enviada a tu SIEM. Si el antivirus, el firewall de punto final u otro producto alertó sobre algo, seguramente se ha hecho cargo de la amenaza inicial; sin embargo, puede haber amenazas adicionales en el endpoint que no fueron detectadas con las firmas o reglas actuales. Es trivial para un atacante modificar el malware existente para pasar por muchas de estas protecciones. 

7. Inteligencia sobre amenazas. Cada vez más, las organizaciones incorporan inteligencia sobre amenazas a sus soluciones SIEM, lo que puede ser de gran ayuda al investigar alertas individuales. Hay muchas listas gratuitas de Threat Intelligence, y mejor aún es suscribirse para contar con información más precisa. 

Si bien estas son las principales fuentes de datos y registros en las que debes enfocarte, considera que cada empresa es única, por ello, cuando busques qué registros agregar, intenta pensar en lo que es más importante para tu empresa.

Servicios expertos 

Recuerda que el servicio de monitoreo de información y eventos de seguridad (SIEM) de Menta consiste en una plataforma de análisis de seguridad en la nube que provee inteligencia de seguridad para sus ambientes de microservicios, nubes híbridas, públicas y privadas.

Este puede ser su primer SIEM de nube, reemplazar su SIEM legado, o co-existir con su solución SIEM actual. Consolide sus herramientas de analítica de logs, cumplimiento y seguridad en una sola y brinde a sus equipos DevSecOps una solución poderosa y ágil.

¿Buscas monitoreo de información y eventos de seguridad? Llámanos, nosotros te apoyamos.

Contáctanos

Por favor introduce tus datos y nos pondremos en contacto contigo.