8. Tendencias. Posibilita analizar perfiles, patrones y cambios en el comportamiento del sistema o red a largo plazo. 9. Tipos de salidas de información que genera un SIEM. Después de recoger los datos de las diferentes fuentes-sensores (proxies, firewals, controles de acceso, aplicaciones críticas, servidores, switches, routers, IDS/IPS, DNS/Directorio/LDAP/AD, escaner de vulnerabilidades, UTM/Unified Threats Management, anti- virus, exploradores de contenido, DLP, IAM, servicio de correo electrónico, etc.), filtrarlas, correlacionarlas, enriquecerlas y volver a correlacionarlas se obtienen diferentes salidas: visua- lización, análisis de tendencias, informes detallados a medida, respuestas, ciber-forensia, estado general de la ciberseguridad, proporcionar alertas, etc. En un sistema SIEM pueden identificarse diversos componentes: 1. Recogida centralizada de logs. Recoge información y logs de diversas fuentes (servidores, routers, switches, agen- tes, antivirus, firewalls, IDS/IPS, DLP, security appliances, dispositivos IoT, etc.). Existen básicamente dos tipos de recogida de logs de las diferentes fuentes: (i) Pasiva. La propia fuente es quien envía los logs al sistema SIEM, por ejemplo, los servidores syslog, el envío por agente/conec- tor. A veces se utilizan equipos intermedios para recoger los logs y enviárselos al sistema SIEM. (ii) Activa. Es el propio sistema SIEM el que va a la fuente a recoger los logs, por ejemplo, utilizando consultas vía el API de Windows WMI (Windows Management Instrumentation), RPC (Remote Procedure Call), consultas a bases de datos, SCP, CIFS, etc. Las principales acciones o capas realizadas sobre los logs por las entidades que recogen dichos logs son: (a) Parseo de logs basada en expresiones regulares. Consiste en separar en campos los diferentes elementos que integran un log (por ejemplo, de un IDS, un firewall, etc.). (b) Normalización. Se basa en asignar cada uno de los campos identificados y separados en el log mediante parseo, los campos defini- dos en la herramienta SIEM. La normalización es diferente según la tecnología utilizada, por ejemplo, los logs de un proxy de un fabricante son diferentes de la de otro. La com- binación del parseo más la normalización permite analizar eventos de la misma tecnología, por ejemplo, proxy pero de diferentes fabricantes. (c) Categorización. Se ordena, se clasifica, se establecen categorías y se priorizan los eventos entrantes. Para cada tipo de origen de registros de audito- ría, el sistema SIEM puede configurarse para proporcionar CIBERSEGURIDAD trabajo (por ejemplo, tecleando control-alt-del); no preste su móvil a un extraño ni si quiera unos segundos ya que puede rápidamente descargarle un malware. 28. Utilizar una cuenta sin privilegios de administrador para las tareas de cada día. Que los privilegios sean los mínimos nece- sarios para poder realizar sus tareas. 29. Implantar políticas para eludir sitios Web si tienen certifica- dos digitales X.509v3 no válidos ya que los datos introducidos en tales sitios Web pueden ser interceptados. 30. No hacer clic en links en ventanas emergentes incluso si se conoce la empresa o producto que se anuncia. 31. No introducir contraseñas, ni credenciales en sitios Web bajo protocolos que no cifren como HTTP, Telnet, FTP, SNMPv1, etc. 32. Implantar segmentación, compartimentación, captura y aislamiento de redes vía DMZs, sandboxing, VLANs, virtua- lización (por ejemplo, con VMware), zonas de cuarentena, honeynets sin salida, etc. Sistemas SIEM Los sistemas SIEM (Security Information and Event Management) se enfocan en la seguridad (la información de seguridad no son sólo logs), las herramientas SIEM pueden implantarse como soft- ware sobre hardware del tipo security appliance (‘on-premise’) o como servicios gestionados en la nube. Los sistemas SIEM surgen de la fusión de las tecnologías SEM (Security Event Management; que trata de la monitorización y correlación de eventos en tiempo real, el procesamiento y monitorización de eventos de seguridad en tiempo real generados en diferentes sensores, por ejemplo IDS/ IPS, FW, DLP, NAC, IAM, etc., los correlaciona y genera alertas al usuario) y de la tecnología SIM (Security Information Management; que almacena todos los eventos generados por los sensores conec- tados al mismo pero a diferencia de la SEM el procesamiento con estos eventos se centra en el análisis histórico posibilitando análisis ciber-forense, monitorización y realización-generación centralizada de informes de los resultados). Un sistema SIEM esta, diseñado para recoger, agregar, filtrar, almacenar, correlacionar, priorizar y visualizar (por ejemplo, en una consola SIEM) diferentes datos relevantes sobre ciberseguridad. Los sistemas SIEM permi- ten realizar diferentes tareas: 1. Monitorizar la red perimétrica. En busca de ciber-amenazas externas y malware. 2. Monitorizar amenazas internas y auditoría. Recoge datos y los correlaciona lo que permite detectar y monitorizar perfi- les de actividad de amenazas internas sospechosas. 3. Detección de amenazas APT/ART. Recoge datos dispares permitiéndole indicar movimientos laterales, accesos remo- tos (por ejemplo, vía RAT), C&C (Command and Control) y exfiltraciones de datos. 4. Monitorizar configuración. Alerta de cambios en la configu- ración de los servidores y sistemas de la organización, desde cambios de contraseña a modificaciones críticas del registro de Windows. 5. Cumplimiento con la política. Ayuda con el cumplimiento y generación de informes para satisfacer diversas leyes, nor- mas y reglas como PCI/DSS, HIPAA, SOX, RGPD, FISMA, etc. 6. Análisis de ciber-incidentes y ciber-forensia de red. Permite revisar y retener todos los datos de log históricos. 7. Workflow y escalado. Permite seguir la pista a un evento y ciber- incidente desde que se detecta hasta convertirse en grave, se incluye la gestión de casos, la priorización y la resolución. 61