Desde que nos apoyamos en el uso de las tecnologías para el desempeño de labores diarias en la empresa es de sobra conocida la necesidad de mantener un control sobre los eventos de seguridad, logs de servicios, recursos, etcétera. Es una situación común para el personal de IT de cualquier empresa el tener que realizar una monitorización tanto de los servicios ofrecidos como de la infraestructura en la que estos se apoyan. Este tipo de operaciones se llevan a cabo tanto en pymes con una infraestructura básica como en grandes corporaciones con infraestructuras titánicas.

Hagamos un ejercicio mental e imaginemos lo siguiente:

Eres el sysadmin o cyber security operator de una empresa que ofrece servicio de hosting web y VPS. Una tranquila mañana de /domingo/ lunes te llaman para que supervises los servidores A-B al A-Z debido a decenas de tickets de soporte abiertos por clientes que no pueden acceder mediante SSH a sus servidores VPS, algo básico e imprescindible

Bye bye remote administration


¿Cómo afrontar la situación? Una vez hechas algunas concesiones a  nuestra historia (recordemos que el propósito de este post es una introducción a los SIEM), nos daremos cuenta de que, fundamentalmente, contamos con 2 vías de actuación:

  • La supervisión manual de cada uno de los servidores, lo que incluiría los registros de las propias conexiones al mismo, logs de servicios, mensajes del kernel, métricas de sistemas y demás fuentes de información relevantes.
  • La supervisión desde un punto de vista holístico, previa recolección, análisis y tratado de las fuentes de datos seleccionadas.

Es evidente de la profundidad y alto consumo de horas que supone la primera opción, por lo que contar con la posibilidad de realizar una supervisión global del conjunto de servidores afectados como un todo nos evitaría sumar al número de horas invertidas (y de clientes sin servicio) para poder centrarnos en la identificación de la brecha,  su resolución y restablecimiento del servicio.

Aquí es donde encajan a la perfección los SIEM, cuyas  siglas vienen de Security Information and Event Management o información de seguridad y gestión de eventos. Este tipo de soluciones nos permiten, una vez desplegados una serie de servicios en los que se apoya: persistencia, intercomunicación, tratado y representación de datos,  crear paneles gráficos o dashboards en los que consultar la información resultado del procesamiento anterior.

Dashboard creado con QRadar de IBM


Gracias a una solución SIEM, nuestro sysadmin o cyber security operator podría revisar desde un dashboard todos los eventos, logs o métricas ligados a la seguridad y estado de los servidores
, proporcionando información de vital importancia para la resolución de la incidencia con la mayor rapidez posible puesto que los datos presentados ya han sido previamente seleccionados y tratados según nuestros requerimientos operacionales.

Este tipo de soluciones, extendida por la mayoría de SOC (Security Operation Center), es ofrecido por multitud de grandes empresas del sector de las tecnologías y ciberseguridad:

  • Splunk
  • IBM QRadar
  • AlienVault (Ahora AT&T Cybersecurity)
  • McAfee Siem
  • Fortinet Fortisiem

Sin embargo, debido al alto coste de implantación de este tipo de aplicativos, se han desarrollado soluciones alternativas que no dejan de ser igualmente eficaces para el desarrollo de estas labores de centralización de información de seguridad. La más extendida en la actualidad es el stack ELK también conocido actualmente como Elastic, formado por la simbiosis entre Elasticsearch, un motor de búsqueda tipo full-text, Logstash, un motor de recolección, parseo y tratamiento de datos, y finalmente, Kibana, un complemento de Elasticsearch para la visualización de datos indexados, que en sinergia proporcionan una solución, tanto en versión de pago como gratuita, para la ingesta, análisis, tratado, persistencia y presentación de información recabada desde fuentes de datos externas.

Elementos del stack ELK o Elastic.

El resultado de un despliegue de ELK queda bastante claro en el siguiente ejemplo de dashboard. Es importante mencionar el nivel de personalización que nos ofrece Kibana a la hora de crear nuestras gráficas, adaptándose de manera absoluta a los requisitos necesarios, permitiéndonos observar mediante un vistazo rápido la información que creamos más relevante:

ELK Dashboard


Con este primer post hemos hecho una pequeña introducción al término SIEM, la casuística en la que operan, y una primera toma de contacto con el stack ELK o Elastic, el proyecto open source más adoptado en la actualidad en cuanto a soluciones SIEM.

Una vez hechas las presentaciones comenzaremos, esta vez en un nuevo post, con una introducción algo más en detalle al stack Elastic y cada uno de sus componentes.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.