CIBERSEGURIDAD Las herramientas SIEM pueden implantarse como software sobre hardware del tipo security appliance (‘on-premise’) o como servicios gestionados en la nube Los sistemas SIEM proporcionan a las organizaciones de forma centralizada información muy valiosa sobre ciber-amenazas poten- ciales, ciberataques e intentos de intrusión con anticipación a sus recursos y procesos operacionales, consecuentemente mejoran las capacidades de proactividad de detección y respuesta a ciber- amenazas permitiendo análisis en tiempo real de logs y datos de eventos de seguridad recogidos de múltiples fuentes (firewalls, antivirus, sistemas de prevención de intrusiones, sistemas de prevención de fuga de datos, sistemas de gestión de red que moni- torizan la QoS, por ejemplo, en búsqueda y detección anticipada de ataques DDoS/DoS), etc.). Un sistema SIEM posibilita detectar y mitigar ciber-amenazas de la red y esta presente en todo SOC. El Magic Quadrant para SIEM de Gartner esta formado por cuatro cuadrantes donde se colocan ordenadas (por capacidad para ejecu- tar y completitud de visión) herramientas SIEM, las más relevantes entre otras son en el 2018: McAfee Enterprise Security Manager (ESM), Dell Technologies (RSA Security Analytics), LogRhytm, IBM Security QRadar, Splunk Enterprise Security (ES), etc. Otros ejem- plos de sistemas SIEM son: HP Enterprise (HPE), ArcSight de HP, SIEMphonic Essentials de Netsurion para PYMES, utiliza machine learning supervisado etc. Correlacionado con los sistemas SIEM están herramientas como LM (Log Management) se enfoca en los logs, no todos los logs son para seguridad (por ejemplo, los hay para reporting, para cumplimientos, etc.), la detección de anomalías que utiliza SUBA (Security User Behavior Analysis), herramientas ana- líticas específicas, etc. Estructura SOC y su integración con SIEM Un SOC (Security Operations Center) es un equipo de analistas de seguridad (con herramientas, tácticas, técnicas y procedimientos de ciberseguridad) organizados con el objetivo de detectar, anali- zar responder, informar y prevenir ciber-incidentes y proporcionar servicios a un conjunto de usuarios, sitios, activos IT/OT, redes, organizaciones, etc. Todo SOC utiliza sistemas SIEM para monito- rizar y gestionar de forma continua el estado de seguridad de una organización-negocio-industria-empresa-infraestructura-ecosis- tema y puede interconectarse con otros SOC externos. Un SOC integra un equipo de especialistas que defienden una empresa de toda actividad no autorizada dentro de sus redes y equipos de computadores, implantando monitorización, detección anticipada, análisis (tendencias y análisis de patrones) y respuesta y restaura- ción de las actividades. El SOC ayuda a las organizaciones a reducir el tiempo de estar infectado por alguna ciber-amenaza/ciberarma monitorizando constantemente en busca de indicadores específicos de actividad de APTs (Advanced Persistent Threats). Su principal misión es monitorizar continuadamente las redes, sistemas de computación, dispositivos IoT, etc. de vulnerabilidades, intentos de intrusión, ciber-ataques o signos de actividad anómala o maliciosa y desple- gar la respuesta apropiada de forma rápida, así mismo permiten una mejor detección e investigación de ciber-incidentes, incluyen capacidades de respuesta utilizando los datos procedentes de todo tipo de dispositivos (servidores DNS, software de aplicación, firewalls, IPS, DLP, IAM, etc.), logs, sistemas de seguridad y flujos de red. Un SOC ayuda a las organizaciones a priorizar el desplie- gue de recursos en la organización teniendo en cuenta todo tipo de cuestiones de ciberseguridad. Los SOC de las organizaciones utilizan sistemas SIEM para recoger los distintos datos de los diferentes sistemas y aplicar reglas para generar alertas a partir de esos datos. Los SOC utilizan tecnología SIEM y analítica de comportamiento para eliminar todo tipo de ciber-amenazas, incluso las APT (Advanced Persistent Threats), ARP (Advanced Ransomware Threats), etc. Los SOC suelen utilizar un modelo de análisis de tres capas para gestionar las alertas de ciberseguridad generadas por los sistemas SIEM: (1) C-1. Los analistas son responsables de la monitorización en tiempo real de las alertas de ciberseguridad y decidir si una alerta es lo bastante grave como para escalarse al análisis de la capa 2. Los analistas establecen reglas para filtrar el ruido y determinar que alertas pasar a la capa 2. (2) C-2. Los analistas de esta capa se instruyen de las alertas que reciben de la capa 1 y las correlacionan 63