Cómo implementar SIEM y SOAR: guía para especialistas

Cómo implementar SIEM y SOAR: guía para especialistas

Contenido


Esta publicación ofrece una guía de alto nivel para profesionales de ciberseguridad sobre las plataformas Security Information and Event Management (SIEM) y Security Orchestration, Automation, and Response (SOAR). Aunque está dirigida principalmente a profesionales en organizaciones gubernamentales y de infraestructura crítica, también puede ser útil para profesionales de cualquier organización interesados en utilizar o que actualmente usan plataformas SIEM y/o SOAR.

Importante: Las recomendaciones de esta publicación deben considerarse orientación general; cada organización debe adaptar la recopilación, centralización y análisis de registros a su entorno específico y perfil de riesgos.

Guía completa

Esta publicación forma parte de un conjunto de tres guías sobre plataformas SIEM/SOAR:

  • Implementación de plataformas SIEM y SOAR: guía para responsables - destinada a responsables, define las plataformas SIEM/SOAR, describe sus ventajas y desafíos y ofrece recomendaciones generales para la implementación
  • Implementación de plataformas SIEM y SOAR: guía para profesionales - dirigida a practicantes de ciberseguridad, con mayor detalle técnico sobre las plataformas SIEM/SOAR, sus ventajas y desafíos, y principios de buenas prácticas para la implementación
  • Registros prioritarios para la ingestión en SIEM: guía para profesionales - dirigida a practicantes de ciberseguridad y proporciona recomendaciones técnicas detalladas sobre los registros que deben priorizarse para la ingestión en SIEM


¿Qué es una plataforma SIEM?

SIEM (Security Information and Event Management) es un tipo de plataforma software o dispositivo que recopila, centraliza y analiza datos de registros procedentes de fuentes en la red o el sistema con el objetivo de garantizar la ciberseguridad.

Cuando se implementa correctamente para este propósito, una plataforma SIEM automatiza la recopilación y centralización de datos de registros relevantes que de otro modo estarían dispersos por la red, lo que facilita su navegación al equipo de seguridad. A diferencia de algunas otras herramientas de recopilación y centralización de registros, un SIEM bien configurado aplica una línea base predefinida de la actividad normal de la red, reglas y filtros para el análisis y la correlación de los datos de registro.

Este análisis puede permitir que la plataforma SIEM detecte actividad inusual en la red que pueda representar un evento o un incidente de ciberseguridad. La mayoría de los productos SIEM mejoran su análisis incorporando información actualizada sobre amenazas.

Lenguajes de consulta

Las plataformas SIEM usan lenguajes de consulta para extraer y analizar datos de registros. El lenguaje de consulta empleado suele variar entre productos SIEM. Las consultas se ejecutan de forma periódica o según sea necesario (por ejemplo, para investigar actividad anómala o realizar análisis forense tras un incidente) y devuelven información en forma de paneles, informes o alertas.

¿Qué es una plataforma SOAR?

SOAR (Security Orchestration, Automation, and Response) es una plataforma software que automatiza la respuesta a actividad anómala detectada en la red.

La plataforma automatiza la respuesta aplicando "playbooks", que combinan planes de respuesta a incidentes y de continuidad del negocio para definir acciones que deben tomarse cuando se produce un evento de seguridad concreto. Estas acciones automatizadas no sustituyen a los especialistas en respuesta a incidentes, pero pueden simplificar la reacción ante actividad anómala.

Integración de SOAR

Algunas plataformas SOAR están diseñadas para integrarse con una plataforma SIEM y usan su recopilación, centralización y análisis de registros. Otras realizan la recopilación, centralización y análisis de registros por sí mismas.

SOAR también puede integrarse con otras herramientas de seguridad, tales como:

  • Cortafuegos
  • Soluciones de seguridad para endpoints
  • Escáneres de vulnerabilidades

Potenciales ventajas de las plataformas SIEM y/o SOAR

Mediante la automatización, las plataformas SIEM y/o SOAR pueden mejorar significativamente la visibilidad de la red para el equipo de seguridad y su capacidad para detectar y responder a eventos e incidentes de ciberseguridad. Sin embargo, cada una de estas ventajas solo se alcanzará si la plataforma SIEM y/o SOAR se implementa correctamente.

Objetivo final

Mejorar la visibilidad de la red y la detección de eventos e incidentes de ciberseguridad, así como la respuesta a los mismos, aumentará la seguridad y la integridad de la información almacenada en la red. Una plataforma SIEM y/o SOAR bien implementada y mantenida de forma continua puede ayudar a prevenir la indisponibilidad de sistemas, el robo o la modificación de datos confidenciales y la pérdida de control sobre redes críticas.

Al reducir el tiempo de detección y respuesta, una plataforma SIEM y/o SOAR bien implementada puede ayudar a evitar un incidente de ciberseguridad costoso y reducir el coste de eliminar a los atacantes de la red. Estos costes potenciales asociados a incidentes suelen ser mucho mayores que los costes de implementar correctamente una plataforma SIEM y/o SOAR.

Mejora de la visibilidad

Al automatizar la recopilación y centralización de registros, analizar esos datos y presentar el análisis en paneles e informes, el SIEM facilita al equipo de seguridad ver e interpretar lo que ocurre en la red. Esta información, de otro modo, estaría muy fragmentada y sería difícil de consultar.

Otra ventaja de implementar una solución centralizada de registros o una plataforma SIEM es simplificar el acceso a los datos de eventos durante una investigación, evitando la necesidad de acceder a cada equipo para recopilar registros manualmente.

Cumplimiento normativo

La recopilación y centralización de registros también es fundamental para que cualquier organización implemente el modelo Essential Eight Maturity del Australian Signals Directorate y las Cybersecurity Performance Goals (CPGs) de la Cybersecurity and Infrastructure Security Agency (CISA).

Nota importante: Si los requisitos de cumplimiento son el principal impulsor para que su organización adquiera una herramienta de recopilación y centralización de registros, una plataforma SIEM y/o SOAR puede no ser la opción más adecuada o rentable. Existen otras herramientas disponibles.

Por ejemplo, Logging Made Easy (LME) de CISA es una plataforma gratuita de código abierto que centraliza la recopilación de registros. LME está dirigida a organizaciones pequeñas y medianas que necesitan gestión de registros y detección de amenazas, y puede descargarse directamente desde la página de GitHub de LME de CISA.

Mejora de la detección

Un SIEM bien configurado y mantenido también mejora la detección de eventos e incidentes de ciberseguridad, generando alertas rápidas sobre actividad inusual en la red que motivan investigarlo por parte del equipo de seguridad.

Aunque algunas detecciones, como el análisis de anomalías, requieren grandes volúmenes de datos para funcionar de forma eficaz, un SIEM bien mantenido debe ayudar a determinar si una detección es un falso positivo.

Protección de la integridad de los registros

La automatización de la recopilación de registros y la protección de la integridad de los registros centralizados también mejora la detección, al proteger los registros contra modificaciones o eliminaciones no autorizadas, una táctica que algunos actores maliciosos emplean para mantener el acceso a una red o sistema.

Las organizaciones también deben mejorar su nivel de estandarización de eventos de registro mediante plataformas SIEM, lo que puede permitir el uso de reglas de detección compartidas de la comunidad o de proveedores. El uso de reglas comunes mejora la capacidad de detección y reduce el tiempo necesario para desplegarlas.

Mejora de la respuesta

Las plataformas SIEM y/o SOAR también pueden mejorar la capacidad de respuesta ante eventos e incidentes de ciberseguridad. Al generar alertas rápidas sobre actividad inusual, un SIEM puede permitir a la organización intervenir antes de que un evento escale a incidente o actuar con rapidez para limitar el daño cuando ya ha ocurrido.

Una recopilación, centralización y notificación de registros eficiente por parte del SIEM también proporciona a los equipos de respuesta a incidentes los datos necesarios para analizar qué ocurrió y qué medidas tomar. La centralización de registros puede ser crítica cuando actores maliciosos intentan modificar o eliminar registros de eventos para ocultar sus trazas.

Respuesta automatizada con SOAR

La función de respuesta automatizada de SOAR también puede hacer que la respuesta a eventos e incidentes de ciberseguridad sea más eficiente. Una plataforma SOAR no sustituirá a los especialistas en respuesta a incidentes; sin embargo, al automatizar ciertas acciones relacionadas con la respuesta a eventos e incidentes concretos, puede permitir al personal centrarse en problemas más complejos y de mayor valor generados por el evento o incidente.

En la medida en que automatiza la respuesta, SOAR también se adapta a la velocidad de los actores maliciosos que emplean técnicas de ataque automatizadas.

Ejemplo de uso: detección y respuesta a amenazas LOTL

Los actores maliciosos a menudo usan herramientas legítimas y funciones del sistema operativo o del entorno para lograr sus objetivos. Esta técnica, conocida como Living off the Land (LOTL), puede ser difícil de detectar y mitigar. Sin embargo, una plataforma SIEM o SOAR bien implementada puede mejorar las capacidades de caza de amenazas para detectar con éxito las tácticas, técnicas y procedimientos (TTP) LOTL de las siguientes maneras:

  • Recopilación y centralización de registros desde dispositivos de red, endpoints y otros sistemas ayuda a mantener la integridad de los registros o a prevenir que los actores empleen TTP LOTL para modificar/eliminar registros y así mantener el acceso a la red, proporcionando una visión completa y coherente de la actividad en el entorno
  • Implementación de reglas que analizan los registros recopilados ayuda significativamente a detectar:
    • Acciones de scripting LOTL
    • Ejecución de comandos o herramientas
    • Intentos de acceso al sistema que se consideran inusuales en el entorno
  • Línea base del comportamiento normal de usuarios y aplicaciones en el SIEM que permite a la plataforma identificar actividad potencialmente maliciosa analizando desviaciones respecto a la línea base
  • Integración con inteligencia de amenazas - SIEM o SOAR deben incorporar inteligencia de amenazas para asegurar una respuesta actualizada a TTP LOTL
  • Respuesta automatizada - la capacidad de automatizar respuestas en SOAR mediante playbooks para limitar el posible daño causado por actividades marcadas o sospechosas

Desafíos de la implementación de plataformas SIEM y/o SOAR

Para los profesionales que consideran adquirir una plataforma SIEM y/o SOAR, esta sección expone algunos desafíos clave. Ninguna de estas plataformas es una herramienta de tipo "instalar y olvidar". Estas plataformas solo mejoran la visibilidad, detección y respuesta si se implementan correctamente y se mantienen de forma continua por personal cualificado.

Desafíos principales:

  • Para la plataforma SIEM: Asegurar la correcta ingestión de datos desde las fuentes de registro y configurar mecanismos de detección eficaces
  • Para plataformas SOAR: Adaptar la respuesta automatizada de forma efectiva a eventos específicos

Normalización de los datos ingeridos

SIEM recopila, procesa y analiza datos de diversas fuentes en la red o el sistema. Estas fuentes variadas pueden incluir cortafuegos, sistemas de detección/prevención de intrusiones (IDS/IPS), endpoints y aplicaciones. Esto plantea un reto para el análisis de registros, ya que cada fuente puede tener un formato de registro distinto.

Problemas clave de normalización:

  • Parseo correcto de datos tanto de registros no estructurados como estructurados
  • Estandarización de la terminología en todos los registros recopilados; por ejemplo, 'src_ip' y 'sourceAddress'
  • Sincronización temporal para registros recopilados en distintas zonas horarias

Cobertura de la recopilación en todo el entorno

La ingestión de registros debe considerar también la cobertura del entorno de la organización y la priorización basada en la evaluación de riesgos. Por ejemplo, si la organización ha desplegado mecanismos de replicación de registros/datos solo en 10 de 12 servidores de Active Directory (AD), la plataforma SIEM tendrá un "punto ciego" respecto a eventos que ocurran en los dos servidores AD no ingeridos por el SIEM.

Por el contrario, la organización puede decidir mediante evaluación de riesgos que el SIEM solo ingerirá un porcentaje determinado de estaciones de trabajo como representación de la actividad de escritorio.

Centralización de registros frente a análisis de registros

Diferencia importante

El consumo elevado de registros es más probable si el SIEM se utiliza principalmente como centralizador de registros. El SIEM no debe emplearse con ese fin.

Existen otras herramientas para organizaciones cuyo objetivo principal es la centralización de registros con fines de cumplimiento o auditoría. Estas herramientas, como lagos de datos y mecanismos de almacenamiento alternativos, deberían emplearse para centralizar registros que no aportan valor en la identificación de eventos, amenazas o incidentes de ciberseguridad.

Esto suele ser más rentable y permite a los equipos de seguridad enviar solo los registros necesarios al SIEM, sin tener que filtrar registros de menor utilidad. Además, el análisis será probablemente menos eficaz si la plataforma SIEM se considera el repositorio central de todos los registros en lugar de los específicamente identificados para fines de seguridad.

Lograr un análisis eficaz de registros

Para conseguir un análisis eficaz de registros, la plataforma SIEM debe configurarse cuidadosamente para el entorno de TI y los requisitos del negocio de la organización. El análisis es eficaz cuando el SIEM produce tanto:

  • Resultados verdaderamente positivos (alertas cuando ocurren eventos o incidentes)
  • Resultados verdaderamente negativos (ausencia de alertas cuando no hay eventos o incidentes)

Requisitos de personal

Esto exige que el personal asegure que el SIEM recopila y centraliza los tipos y volúmenes adecuados de registros, así como las reglas y filtros correctos. Es un trabajo considerable y continuo: el SIEM debe ajustarse constantemente con el tiempo, ya que el entorno, las funcionalidades de la plataforma y el panorama de amenazas cambian continuamente.

Riesgos de una mala configuración

Falsos negativos: Si el SIEM usa datos incompletos o inconsistentes, o si las reglas y filtros aplicados no son lo bastante sensibles, producirá falsos negativos: ausencia de alertas cuando ocurren eventos o incidentes reales. Esto representa riesgos significativos para la detección y respuesta, pues los equipos de seguridad pueden volverse dependientes de las alertas de la plataforma.

Falsos positivos: Por el contrario, el SIEM puede configurarse para consumir un gran volumen de registros y aplicar reglas y filtros que generen muchos falsos positivos: alertas cuando no hay evento ni incidente. Ante un elevado número de falsos positivos, los equipos de seguridad pueden sufrir "fatiga por alertas" y omitir o retrasar su respuesta a eventos reales.

Nota: Este tipo de desequilibrio es común, ya que los equipos de seguridad tienden a recopilar y centralizar demasiados datos, lo que complica el desarrollo de reglas y filtros eficaces.

Si el SIEM no está configurado para lograr un análisis eficaz de registros, esto puede afectar la funcionalidad de cualquier plataforma SOAR integrada, con consecuencias importantes.

Riesgos de la automatización de la respuesta

Las plataformas SOAR deben configurarse cuidadosamente para el entorno único de cada organización, lo que requiere personal con habilidades especializadas.

Especialistas necesarios:

  • Especialistas en seguridad para identificar qué partes de la respuesta deben automatizarse
  • Ingenieros de plataforma para diseñar la automatización
  • Desarrolladores para determinar cómo la automatización puede afectar a productos o servicios especializados/desarrollados internamente
  • Asesoría legal o expertos en riesgo y cumplimiento para identificar riesgos y consecuencias regulatorias de la automatización de la respuesta

Consecuencias de una mala configuración

Si la funcionalidad de respuesta de SOAR no está bien configurada y mantenida, la plataforma puede identificar erróneamente comportamientos normales de usuarios o sistemas como eventos o incidentes y tomar medidas automatizadas de aislamiento y respuesta. Esto puede causar interrupciones de distintos niveles en la prestación de servicios.

Si el personal es escéptico respecto a la automatización o carece de la confianza y la experiencia necesarias para implementar correctamente SOAR con el tiempo, es posible que la plataforma quede infrautilizada tras su adquisición, pese a la inversión realizada.

Advertencia sobre la madurez del entorno

Por estas razones, las plataformas SOAR suelen no ser adecuadas para entornos inmaduros, es decir, entornos que no disponen de un SIEM existente, que han implantado recientemente una capacidad SIEM o que no cuentan con un equipo de seguridad con experiencia.

En general, invertir en implementar correctamente la plataforma SIEM y lograr un análisis eficaz de registros tiene prioridad sobre la adopción de SOAR.

Intensidad en recursos

Implementar correctamente una plataforma SIEM y/o SOAR implica costes considerables y continuos:

  • Costes iniciales y recurrentes por licencias y/o uso de las plataformas
  • Costes de contratación y retención de personal con habilidades especializadas escasas para implementar SIEM y/o SOAR
  • Costes iniciales para la capacitación del personal existente y asegurar las habilidades necesarias para configurar la plataforma
  • Costes continuos para invertir en la formación continua del personal y así poder mantener y desarrollar la plataforma con el tiempo
  • Costes continuos de operación y soporte de la plataforma por parte del personal
  • Costes iniciales y continuos de servicios si la organización externaliza la configuración, implementación y soporte de la plataforma

Recomendaciones sobre capacidades internas

Externalizar la configuración y el soporte puede resultar caro. Para organizaciones que manejan información sensible o proporcionan servicios críticos o únicos, se recomienda desarrollar capacidades internas para cumplir obligaciones regulatorias o para ofrecer capacidades especializadas y fiables.

El personal interno puede tener un conocimiento más profundo de la red, algo invaluable para identificar actividad inusual o sospechosa. Aunque hay actividades "siempre anómalas" que proveedores externos pueden identificar con facilidad, la actividad más sutil puede pasar desapercibida sin un conocimiento profundo del entorno.

Ventajas adicionales del personal interno

  • Los equipos de seguridad deben poder interrogar a los usuarios sobre su actividad en la red para prevenir amenazas internas o investigar el robo de credenciales
  • La externalización puede crear brechas en la visibilidad, duplicación de esfuerzo y dificultades de comunicación

Las organizaciones que no externalizan la configuración y el soporte de SIEM y/o SOAR deben prever asignar varios empleados a estas tareas de forma permanente. También conviene señalar que operar un SIEM puede implicar periodos prolongados de trabajo bajo alta presión, por lo que el personal probablemente necesitará apoyo.

Principios de buenas prácticas para la implementación de SIEM y/o SOAR

Esta sección presenta 11 principios de buenas prácticas a los que los profesionales pueden remitirse en cada etapa de la implementación de una plataforma SIEM y/o SOAR: adquisición, despliegue y mantenimiento.

Adquisición

  1. Defina el alcance de implementación para su organización
  2. Considere un producto SIEM con arquitectura de lago de datos
  3. Considere un producto SIEM que pueda correlacionar datos de múltiples fuentes
  4. Busque costes ocultos en los distintos productos
  5. Invierta en capacitación, no solo en tecnología

Despliegue

  1. Establezca la línea base de la actividad habitual en la red
  2. Desarrolle un estándar para la recopilación de registros
  3. Integre el SIEM en la arquitectura corporativa de la organización

Mantenimiento

  1. Evalúe la detección de amenazas
  2. Reduzca la ingestión de registros mediante preprocesamiento
  3. Pruebe el rendimiento de su SIEM y/o SOAR

Principios de adquisición

1. Defina el alcance de implementación para su organización

Antes de invertir en una plataforma SIEM y/o SOAR, las organizaciones deben desarrollar una prueba de concepto (POC) para la implementación. Distintas organizaciones tendrán definiciones diferentes de POC para una implementación de SIEM y/o SOAR. Sin embargo, una POC cuidadosa puede evitar que la organización quede comprometida prematuramente con una plataforma que presente desafíos y demoras inesperadas durante la implementación.

Tabla de ingestión de datos recomendada

Las agencias autoras recomiendan que las organizaciones que implementan SIEM consideren la siguiente tabla de ingestión de datos para requisitos iniciales de licencias y almacenamiento/cómputo:

Tamaño de la organización Mínimo Ideal recomendado
<50 (organización mínima) 50 GB 200 GB
50 - 400 (organización pequeña) 150 GB 300 GB
400 - 2000 (organización mediana) 250 GB 600 GB
2000 - 5000 (organización mediana/grande) 500 GB 1.5 TB
>5000 (organización grande/portafolio) 1 TB 2.5 TB

Preguntas clave para la POC

Al diseñar la POC para implementar SIEM y/o SOAR deben considerarse las siguientes preguntas:

  • ¿Cuál es el objetivo principal de la implementación?
  • ¿Quiénes son las partes interesadas relevantes en el uso y los resultados de la implementación?
  • ¿Qué riesgos, amenazas y casos de uso dentro del alcance abordará la implementación?
  • ¿Qué fuentes de datos deben priorizarse para la ingestión?
  • ¿Habrá dependencias de terceros o integraciones que obstaculicen la implementación?
  • ¿Deben implementarse las plataformas de forma local o a través de un proveedor SaaS?
  • ¿Qué integración con arquitecturas locales, híbridas y en la nube será necesaria?
  • ¿Qué equipos son responsables de la implementación, incluido el soporte continuo de la plataforma?
  • ¿Están disponibles recursos humanos durante varias semanas para la instalación?
  • ¿Tienen los recursos disponibles la experiencia suficiente para su rol en la implementación?

2. Considere un producto SIEM con arquitectura de lago de datos

Al comparar productos SIEM, las agencias autoras recomiendan considerar un producto que incluya —o pueda incluir— una arquitectura de lago de datos. Los patrones arquitectónicos varían entre productos SIEM. La arquitectura determina los usos potenciales del SIEM, definiendo cómo distribuye los datos, centraliza los registros y restringe el acceso del personal a la información contenida.

Arquitectura de lago de datos en SIEM: Todos los registros relacionados con seguridad se replican en un repositorio de registros. El SIEM extrae los registros para su análisis desde ese repositorio en lugar de disponer de su propio canal exclusivo.

El repositorio de registros debe protegerse adecuadamente para mantener la integridad y la confidencialidad de los datos. Las organizaciones también pueden considerar ubicar el repositorio de registros y la plataforma SIEM en un enclave de monitorización segmentado para mejorar la protección de los registros.

3. Considere un producto SIEM que pueda correlacionar datos de múltiples fuentes

Las agencias autoras también recomiendan considerar una plataforma SIEM que pueda analizar y correlacionar registros de múltiples fuentes, como entornos de TI heredados y entornos en la nube dentro de la red. Las organizaciones deberían priorizar la funcionalidad del SIEM y las opciones de seguridad que permitan incluir otras fuentes de datos en el análisis, como canales de inteligencia de amenazas.

4. Busque costes ocultos en los distintos productos

Cualquier organización que considere adquirir una plataforma SIEM y/o SOAR debe planificar los costes iniciales y continuos y buscar costes ocultos asociados a determinados productos y servicios.

Riesgos del proveedor

  • Integración con productos de un solo proveedor: Algunas plataformas están diseñadas para integrarse con otros productos del mismo proveedor, lo que puede obligar a adquirir esos productos adicionales para lograr la funcionalidad completa de seguridad
  • Punto único de fallo: Alta concentración de productos de TI de un solo proveedor puede llevar a un punto único de fallo
  • Problemas de visibilidad: Puede ser difícil lograr visibilidad completa del entorno si la plataforma elegida tiene dificultades para integrar registros de productos fuera del ecosistema del proveedor

Modelos de precios de SIEM

La mayoría de los modelos de precios de SIEM se basan en la cantidad de registros ingeridos por la plataforma. Algunas licencias incluyen una cantidad de registros "gratuitos", mientras que otras limitan la ingestión según la cantidad adquirida previamente.

Importante: Si el modelo de licencia no establece limitaciones para la ingestión de registros, las organizaciones deben ser cautelosas ante la posibilidad de costes muy elevados si la ingestión no se gestiona cuidadosamente.

5. Invierta en capacitación, no solo en tecnología

Lograr mejoras en visibilidad, detección y respuesta mediante plataformas SIEM y/o SOAR requiere recursos humanos especialmente cualificados y dedicados. Cualquier organización que planee comprar SIEM y/o SOAR y desarrollar capacidades internas debe prever asignar recursos significativos a la formación del personal para la implementación de la plataforma.

Temas clave de formación

  • Fundamentos de SIEM, como tipos de plataformas
  • Fundamentos de registro (logging)
  • Manipulación y filtrado de registros
  • Consultas y búsquedas
  • Análisis de registros e investigaciones
  • Marcos de ataque y tácticas, técnicas y procedimientos (TTP), como MITRE ATT&CK
  • Alertas e informes
  • Creación de paneles de control
  • Mantenimiento de la salud de los canales de datos e índices del SIEM

Principios de despliegue

6. Establezca la línea base de la actividad habitual en la red

Antes de desplegar el SIEM para recopilar, centralizar y analizar registros, el equipo de seguridad debe establecer la línea base de la actividad habitual (BAU) en la red. Para establecer la línea base, el equipo debe evaluar las herramientas y software instalados, el comportamiento de las cuentas, el tráfico de red, las mallas de servicios y las comunicaciones entre sistemas.

Importante: El SIEM solo podrá notificar eficazmente al equipo de seguridad sobre eventos e incidentes de ciberseguridad una vez que se haya establecido una línea base precisa de la actividad normal de la red.

Proceso para crear la línea base

Las líneas base no se crean en un día. Dependiendo de la complejidad de la organización, se desarrollan durante al menos varias semanas de recopilación de registros, elaboración de consultas, investigación de actividad de usuario inusual y ajuste y filtrado de alertas, hasta que el equipo de seguridad tenga una comprensión sólida de la actividad habitual.

Riesgo de compromiso

Mientras se establece la línea base existe un riesgo significativo de que, si el sistema ya está comprometido, actividades maliciosas se acepten como normales. Las agencias autoras recomiendan que, durante el periodo de establecimiento de la línea base, las organizaciones realicen esfuerzos exhaustivos para verificar que las actividades sean realmente normales y no maliciosas.

7. Desarrolle un estándar para la recopilación de registros

El responsable del SIEM debe contar con un conjunto de requisitos básicos predefinidos para el registro de aplicaciones y sistemas. Debe existir un mecanismo de aprobación acordado para permitir desviaciones de estos parámetros, que incluyan activar y desactivar el registro adicional cuando sea necesario.

Consideraciones clave:

  • Impacto de niveles altos de registro: Puede afectar negativamente al rendimiento del dispositivo, al almacenamiento de registros y al rendimiento del SIEM, además de aumentar el tráfico de red
  • Ausencia de registros: Debe ser motivo de preocupación para las organizaciones
  • Procesos de monitorización: Las organizaciones deben contar con procesos para identificar cuándo los sistemas han dejado de generar registros y telemetría

Política de retención de registros

Se debe implantar una política de retención y archivado de registros. Diversos factores específicos de la organización influirán en el periodo durante el cual deben conservarse los registros. Desde la perspectiva de seguridad, el periodo de retención debe tener en cuenta el tiempo medio de detección de amenazas de la organización.

Recomendaciones sobre plazos de retención:

  • Para organizaciones nuevas en detección: Mínimo un año para registros que registren eventos administrativos y relacionados con seguridad
  • Registros informativos: 90 días para registros utilizados para contextualizar otros eventos

8. Integre el SIEM en la arquitectura corporativa de su organización

El responsable del SIEM debe estar al tanto de todas las nuevas fuentes de datos y de los cambios en las fuentes de datos de la red para garantizar que el SIEM continúe ingiriendo todos los registros pertinentes. Por tanto, el responsable debe ser miembro permanente del grupo de arquitectura corporativa de la organización y/o del consejo de gestión de cambios.

Aspectos importantes de la integración:

  • Gestión de activos: Asegurar la visibilidad de nuevos activos por parte del SIEM
  • Monitorización de comportamiento: Asegurar que el SIEM reciba alertas sobre actividad de usuarios que ya no deberían tener acceso a la red
  • Decisiones de infraestructura: Los equipos de seguridad deben conocer soluciones de infraestructura significativas que puedan afectar la visibilidad del SIEM
  • Colaboración con desarrolladores: Asegurar que los nuevos productos generen registros de seguridad útiles

Principios de mantenimiento

9. Evalúe la detección de amenazas

Tras desplegar la plataforma SIEM, las organizaciones deben establecer un procedimiento que pruebe y ajuste regularmente sus mecanismos de notificación. Según consejos previos de las agencias autoras, las organizaciones deberían considerar implantar una convención de nombres estandarizada para las alertas, con referencias a las fases de MITRE ATT&CK para facilitar la priorización de la respuesta a incidentes.

Todas las reglas de alerta deben reflejar el modelo de amenazas y el perfil de riesgo de la organización y ajustarse en consecuencia. A medida que cambie el modelo de amenazas, también deberán evolucionar las capacidades de detección.

10. Reduzca la ingestión de registros mediante preprocesamiento

Como se ha comentado, la ingestión excesiva de registros es un desafío común al implementar un SIEM. Ingerir demasiados registros puede resultar costoso, generar falsos positivos y sobrecargar la capacidad de procesamiento de datos de la plataforma, lo que puede retrasar o degradar su rendimiento.

Las organizaciones deben preprocesar los registros antes de su ingestión en el SIEM para reducir la probabilidad de estos problemas. El preprocesamiento puede realizarse en uno de tres puntos:

  • En la fuente/host
  • En el forwarder/replicador
  • En el punto de ingestión del SIEM

11. Pruebe el rendimiento de su SIEM y/o SOAR

Las organizaciones deben realizar ejercicios para probar el rendimiento de su plataforma SIEM y/o SOAR. Estos ejercicios pueden llevarse a cabo internamente o por proveedores externos, como equipos de pruebas de penetración.

Áreas clave para las pruebas:

  • Modificación de Active Directory y PowerShell
  • Técnicas comunes del adversario, como volcado de LSASS.exe
  • Actividad Golden Ticket, Living Off the Land y DCSync
  • Detección de actividad de comando y control (C2) / tráfico inusual hacia un dominio sospechoso
  • Escaneo de red / reconocimiento desde el interior de la red

Las organizaciones deben planificar ejercicios regulares y repetidos que prueben TTP bien conocidos para medir la mejora a lo largo del tiempo. Estos ejercicios regulares deben combinarse con pruebas específicas centradas en nuevos vectores de ataque.

Alt text
article-title

Room Bloger