Security Information Event Managment (SIEM):

Como una Solución Integral a los Problemas de

Seguridad Informática.
Ramiro Morales, Carlos Guerrero, Francisco Yépez
Universidad Internacional SEK
andresmoralesgarcia8@gmail.com, carlosguerrero88@live.com, fran_isco19@hotmail.com
.

Resumen- El presente artículo trata acerca de las bondades de y problemas a largo plazo, por lo que un SIEM puede ayudar
utilizar un sistema llamado SIEM para tratar de mitigar los a las organizaciones que tienen dificultades con una cantidad
problemas de seguridad informática en cualquier de eventos de seguridad y reducir el riesgo de intrusiones en
infraestructura de red, describimos cómo funcionan estos
sistemas y como ayudan a procesar la información que generan la red. [2]
los diferentes dispositivos de red y ayudar al administrador a la
toma de decisiones compararemos varias arquitecturas de estos II. SIEM
sistemas que se utilizan en diferentes tipos de red así como
La palabra SIEM (System Information and Event
también los diferentes sistemas que utiliza para la recolección de
datos y por ultimo brindaremos algunas recomendaciones para Management) se utiliza para indicar a las herramientas
poder implementar de la mejor manera estos sistemas para poder concernientes a la información de seguridad y administración
solucionar la problemática de la seguridad informática. de eventos dentro de un plano informático a nivel de
infraestructura de red. Una herramienta SIEM resulta de
Palabras Clave- SIEM, log, correlación, recolección, seguridad, combinar de tres herramientas predecesoras: Security
informática Information Management (SIM), Security Event Management
(SEM) y Security Event and Information Management
I. INTRODUCCIÓN (SEIM). En pocas palabras el objetivo principal de un SIEM se
En los últimos años el desarrollo de la tecnología y de las es el monitoreo en tiempo real de las actividades que ocurren
comunicaciones a avanzado a pasos agigantados, por tal dentro de la red de una organización, actividades que originan
motivo las empresas ya sean públicas o privadas generan, a varias alertas, definiendo posibles causas o advertencias
guardan y transmiten gran cantidad información que en la sospechosas para el normal funcionamiento tanto del hardware
mayoría de los casos son de vital importancia para que estas y software, las amenazas pueden originarse desde el internet o
puedan seguir desarrollando sus actividades de manera normal desde el interior de la misma organización. [3]
e ininterrumpida, tomando en cuenta esto último y que hoy en
día la información es considerada como un activo para las La información de seguridad y la gestión de eventos (SIEM) se
empresas se debe hacer énfasis en la manera de garantizar la centrarán en la seguridad de la tecnología de la información
confidencialidad, disponibilidad y la integridad de dicha (TI) de la organización, que proporciona una visión holística
información. En este contexto y debido a que todos los datos de la gestión de la seguridad. El sistema SIEM [2] recopila
pueden ser blanco de un ataque cibernético que puede datos relevantes producidos en una organización desde
comprometerlos se propone una alternativa llamada SIEM, múltiples ubicaciones, por lo que es más fácil encontrar
que es una de las vías para lograr que la gestión de la seguridad ataques perfilados al hacer coincidir patrones que no son
informática sea un proceso menos complejo y más efectivo, en legítimos. SIEM combina Security Information Management
un entorno de constantes amenazas de seguridad. [1] (SIM), que acumula datos en un repositorio central para
análisis y brinda informes automatizados y centralizados, y
La cantidad, el volumen y la variedad de registros de Security Event Management (SEM), centraliza la
seguridad informática van aumentado constantemente, lo que administración de almacenamiento y correlaciona los archivos
ha creado la necesidad de gestión de estos registros de de registro y permite funciones de monitoreo casi en tiempo
seguridad informática: el proceso consta para generar, real en un sistema de gestión de seguridad. [4]
transmitir, almacenar, analizar y eliminar datos de registro de
seguridad informática. La gestión de registros es esencial para Cada equipo de la red usa diferentes formatos de logs o
garantizar que los registros de seguridad informática se registros para describir la información de los eventos de
almacenen con suficiente detalle durante un período de tiempo seguridad que ocurren en la red, lo que causa un verdadero
apropiado. Los análisis de registros rutinarios son beneficiosos problema para analizarlos y mostrarlos en información más
para identificar incidentes de seguridad, infracciones de simple que ayude a la toma de decisiones.
políticas, actividades fraudulentas y problemas operativos. Esta pluralidad en los formatos de los registros o logs dificulta
Los registros también son útiles para realizar auditorías y el procesamiento de la información, es por eso que es necesario
análisis forenses, respaldar investigaciones internas, estandarizar los formatos de los eventos recolectados para
establecer líneas de base e identificar tendencias operacionales facilitar su procesamiento y análisis, es aquí donde el SIEM
entra en acción para resolver este problema y luego de esto
correlacionar los eventos para generar las alertas que nos
ayudara en la toma de decisiones.

La correlación es una de las funciones más interesantes de la

tecnología SIEM, ya que ayuda a los analistas de seguridad a
comprender y dar sentido a una gran cantidad de eventos
agregados y a filtrar los pocos que son realmente importantes
en esa masa de información. Se debe prestar especial atención
para obtener un motor de correlación efectivo proporcionando
información sobre los sistemas y redes de infraestructura para
suministrar este motor a fin de hacerlo cada vez más
inteligente.

La gestión de alertas nos permite anticipar y evitar cualquier

tipo de mal funcionamiento al prevenir a los responsables en
caso de un incidente. La administración de alertas envía una
alerta (s) por SMS, correo electrónico o fax a la persona
interesada. [5] En la figura 1 se muestra de manera resumida
Fig. 1. La arquitectura SIEM para el servicio basado en la nube
como funciona estos sistemas.
El motor SIEM tiene como objetivo respaldar el suministro del
análisis inteligente de amenazas y la salida de datos relevantes
en función de sus diversos procesos de datos, como el
modelado de datos y la extracción de datos.

Para soportar el servicio SIEM en la plataforma en la nube, la

capa de usuario de SIEM se ejecuta en la máquina virtual. En
detalle, el usuario activa la máquina virtual que incluye la capa
de usuario de SIEM, y SIEM Engine recupera la información
relacionada que se recupera del Almacenamiento de SIEM y se
convierte instantáneamente en estado de ejecución. Para esto,
es necesario que el Administrador de identificador de datos en
SIEM pueda identificar cada evento y un registro de seguridad
por cada usuario de servicios de seguridad basados en la nube.
Fig. 1. Proceso SIEM [6]
Los autores, I. Anastasov and D. Davcev, en su artículo
Las herramientas SIEM existen en una variedad de formas, y científico “SIEM implementation for global and distributed
la mayoría de ellas difieren en términos de costo y rendimiento, environments” nos describen la arquitectura de una
lo que justifica el hecho de que cada organización debe realizar infraestructura de gestión de registros líder ArcSight ESM y
su propia evaluación para determinar el mejor sistema para su cómo sus componentes interactúan entre sí.
entorno, por lo cual en el siguiente apartado vamos a describir
algunas arquitecturas de SIEM que ciertos autores han
propuesto es sus obras.

III. ARQUITECTURA SIEM

En su obra Toward the SIEM Architecture for Cloud-based
Security Services, los autores, J.-H. Lee, Y. S. Kim, J. H. Kim,
and I. K. Kim, nos proponen una arquitectura basada en
servicios de seguridad en la nube.
La arquitectura SIEM diseñada consiste principalmente en
SIEM Engine para procesar los datos recopilados, SIEM
Storage para almacenar los datos recopilados y los resultados
de análisis, y la capa de usuario de SIEM para garantizar el
servicio de seguridad para el usuario como se muestra en la
siguiente figura 2.

Fig. 3. Arquitectura de un sistema ArcSight SIEM

La infraestructura para el sistema de administración de son confiables, en los últimos años se han generado
registros de ArcSight utiliza tres capas: importancia para la seguridad de los sistemas de información.
La primera capa: dispositivos que generan registros originales, El objetivo de OSSIM ha sido crear un framework capaz de
p. fuentes de registros recolectar toda la información de los diferentes plugins, para
La segunda capa está compuesta de sistemas centralizados integrar e interrelacionar entre si y obtener una visualización
(servidores múltiples) que están recopilando los registros única del estado de la red y con el mismo formato, con el
originales de las fuentes de registro. La función de los sistemas objetivo de aumentar la capacidad de detección de anomalías,
centralizados es consolidar y almacenar los registros en el priorizar los eventos según el contexto en el que se producen y
almacenamiento de registros. mejorar la visibilidad de la monitorización del estado de la red.
[8]
La tercera capa es la capa de monitoreo. Está compuesto por
los dispositivos de usuario que se usan para supervisar y revisar Existen muchas variantes de arquitectura todo dependerá de la
los registros. Además, la función de la tercera capa es necesidad de la organización, así como también de cuán grande
administrar los servidores desde la segunda capa. [2] sea esta y cuán delicados sea la información que manejan.
En otra obra de su tesis en la especialización de Seguridad
informática el autor, Juan Pedroza Hidalgo nos da una visión IV. COLECTOR DE INFORMACIÓN Y CONTROLES DE FLUJO
de arquitectura de OSSIM un SIEM de licencia libre. Los SIEM sin importar su arquitectura para recolectar y
correlacionar los logs utiliza ciertas piezas de software o
plugings a continuación describimos algunos:
Recopilador de DHCP: extrae los metadatos de las
concesiones de IP reales del archivo de arrendamiento.
Recopilador RADIUS: proporciona metadatos con respecto a
los inicios de sesión de los usuarios y al propio usuario (grupos,
autoridad).
Syslog collector: proporciona metadatos sobre el estado de los
clientes syslog arbitrarios: hosts y servicios (por ejemplo, carga
de CPU o inicios de sesión falsos).
Nagios collector: publica metadatos extraídos de Nagios con
respecto al estado de los hosts y servicios (es decir, la
disponibilidad de la red).
Snort collector: traduce las alertas de Snort en los metadatos
de IFMAP.
Nmap: integración de Network Mapper en el entorno IFMAP.
Detecta dispositivos, servidores, servicios, etc.
OpenVAS: publicación de los resultados de escaneo obtenidos
Fig. 4. Arquitectura de OSSIM por el escáner de vulnerabilidad. Permite escaneos periódicos
En la gráfica anterior se detalla la arquitectura de OSSIM y sus o regularmente desencadenados y puede responder
componentes funcionales, estos son: automáticamente a las solicitudes de investigación.
 Servidor USM - Provee los servicios principales del Log-file collector: recopilador genérico para el análisis de
SIEM y conectividad archivos de registro arbitrarios y la traducción de la
 Framework: Provee la configuración de componentes información de registro en los metadatos de IF-MAP.
y una interfaz de usuario web. Android collector: ofrece metadatos con respecto a
 Sensores: Provee los servicios de colección de el estado y el comportamiento del teléfono inteligente (p.
información de host y redes. firmware, kernel, número de compilación, tráfico en diferentes
 Base de datos: Provee la función de almacenamiento interfaces de red, carga de la CPU).
para los componentes. [7] Recopilador LDAP: gestiona una conexión con el
OSSIM es una de los sistemas más populares en el mercado servicio de directorio y entrega según IF-MAP
debido a que es de código abierto y por lo tanto no tiene costo.
Open Source Security Information Management, en español se V. CAPACIDADES DE LOS SISTEMAS SIEM
traduce como: Herramienta de Código Abierto para la Gestión Los sistemas de información de seguridad y gestión de eventos
de Seguridad de la Información. OSSIM no es sólo una (SIEM) recopilan y correlacionan los registros de seguridad de
herramienta, sino una combinación de herramientas, todas de numerosas fuentes dentro de una organización. Los productos
código libre, que construyen una infraestructura de SIEM procesan datos para normalizar su formato, realizan
monitorización de la seguridad. Obtiene información completa análisis y generan alertas sobre la detección de
y selecta, de los miles de eventos que reportan otras comportamientos anómalos. El aprendizaje automático está
herramientas, logrando ser muy útil. A los administradores de alimentando la inteligencia en análisis, cambiando la forma en
red, les permite elegir el procedimiento que regirá la seguridad que resolvemos los problemas. SIEM integrado con
en el sistema de información, pudiendo así, detectar amenazas tecnologías de aprendizaje automático permite a las
rápidamente y disponer de un nivel adecuado de protección organizaciones agregar e interpretar datos para analizar
para la información y equipos que permiten la comunicación ciberataques antes de que realicen daños y faciliten la
dentro de la red. Al considerar que en muchas ocasiones se detección forense y alerta. [9] La diferente capacidad de los
presenta grandes cantidades de alertas, de las cuales no todas productos SIEM son:
Monitoreo de seguridad en tiempo real: una correlación y su grado de independencia de otros proveedores y
centralizada de almacenamiento y registro permite el análisis plataformas.
en tiempo real de una organización. Proporcionar alertas sobre El nivel de integración de la solución: la compatibilidad de los
la actividad en vivo o ataques para tomar medidas defensivas. registros con el entorno de despliegue del sistema SIEM tiene
Inteligencia de amenazas: proporciona una información un papel muy importante en la elección del producto SIEM.
completa sobre amenazas peculiares. Perfilar y refinar el En general, todos los productos de SIEM son capaces de
conocimiento sobre posibles ataques que pueden poner en capturar eventos de cada origen de registro, pero debemos
peligro a una organización. Ayuda a comprender los riesgos de asegurarnos de que el producto sea compatible con todas las
las amenazas externas más comunes, como vulnerabilidad de necesidades de requisitos operativos y pueda analizarse y
día cero, amenazas persistentes avanzadas y exploits. normalizarse.
Perfiles de comportamiento: Aprender la actividad del usuario La facilidad de implementación: es relativamente fácil
y el patrón de uso de los recursos en una organización. Los implementar una solución antivirus porque no hay un contexto
perfiles de comportamiento crean perfiles de actividad normal que considerar: el virus que puede infectar, en un caso
para varias categorías de eventos, como los flujos de red, la tradicional, la estación de trabajo de una empresa X y el mismo
actividad del usuario y el acceso al servidor. El sistema asistirá malware puede compromete una máquina Windows en
alertas en cualquier desviación del comportamiento normal. cualquier otra organización Y. Por otro lado, SIEM tiene
Monitoreo de datos y usuarios: monitoree la autenticación y múltiples contextos, ya que tiene varias variables a considerar
autorización del usuario. Inicialmente, se realiza la y cada elemento es esencial para que la solución SIEM
autenticación del usuario y después de eso, buscará los funcione correctamente, pero antes de que comience a analizar
archivos autorizados a los que puede acceder en la base de y correlacionar los eventos en su entorno, se realiza una
datos. Cualquier acceso o modificación del archivo que no se preconfiguración. se requiere enviar los registros al SIEM, lo
supone que debe hacer dará como resultado una actividad que justifica la elección de la facilidad de implementación
anormal y creará una alerta. Los usuarios con privilegios y el como criterio.
monitoreo de acceso a datos confidenciales es un requisito para La evolución del producto: al elegir nuestra solución SIEM,
los informes de cumplimiento también debemos observar el estado de evolución del producto
Monitoreo de aplicaciones: las debilidades en una aplicación seleccionado o lo que llamamos las versiones disponibles del
como errores o vulnerabilidad se explotan usando ataques producto. Las soluciones de SIEM están en constante
dirigidos. La capacidad de analizar las secuencias de actividad crecimiento, hay algunas soluciones que están sujetas a un
de las aplicaciones permite la supervisión de la capa de cambio regular para mejorar la calidad de sus funcionalidades,
aplicación. por lo que pueden satisfacer la mayoría de las necesidades de
Análisis: descubrimiento, interpretación y comunicación de las organizaciones creando una nueva versión del producto o
patrones significativos en la analítica de seguridad de datos simplemente ofreciendo parches al usuario. [10]
compuesta por vistas de paneles, informes y funciones de
consulta. Lleva a cabo una investigación de la actividad del VII. CONCLUSIONES
usuario y el acceso a los recursos para identificar una amenaza, Los SIEM son sistemas que ayudan de manera significativa a
incumplimiento o mal uso de los privilegios. la gestión de la seguridad informática, incluso previniendo
Gestión de registros e informes: recopilación de archivos de ataques informáticos, malwares y virus; garantizando así la
registro de diferentes fuentes, como registros del servidor, confidencialidad, disponibilidad e integridad de uno de los
registros del sistema, registros de eventos, firewall, etc. Estos activos más importantes que posee toda organización que es la
archivos estarán en el gran tamaño de 10-100 GB de datos. información.
Administrar, almacenar y analizar estos archivos para informar
una alerta es una tarea tremenda para la herramienta SIEM.[4] La función de correlación de log es una de las funciones más
importantes de los sistemas SIEM ya que ayuda al
administrador de red a entender de manera más fácil toda la
VI. RECOMENDACIONES TÉCNICAS PARA LA IMPLEMENTACIÓN información que genera los dispositivos de red, que es por lo
DE UN SIEM general mucha y así poder tomar las deciones más adecuadas
para prevenir cualquier intento de vulnerar la infraestructura de
Este tipo de criterios también puede marcar una diferencia al red
evaluar una herramienta SIEM, por ejemplo, la falta de una
documentación confiable puede guiar al usuario a elegir una Existen diferentes tipos de arquitecturas de SIEM en el
arquitectura de la solución inadecuada o podría tener mercado es por eso que para su implementación se debe tomar
problemas técnicos al configurar el sistema. La solución puede las características donde se aplicará esta tecnología, ya que este
influir negativamente en la relación proveedor-cliente. El sistema deberá instalarse de acuerdo a la infraestructura de red
desafío es, por lo tanto, conocer las caracteristicas para tener de cada organización.
soluciones SIEM que cumplan ciertos criterios técnicos, tales
como: OSSIM es una gran solución que se pueda implementar sobre
El vendedor: la elección del proveedor dependerá de una todo para empresas en desarrollo, pequeñas o de poco
amplia gama de factores, como la relación calidad-precio, la presupuesto al ser de código abierto no tiene costo sin embargo
oferta de cada proveedor teniendo en cuenta su popularidad, es una de las herramientas más poderosas disponibles hoy en
calidad, servicio y especialmente su experiencia en el campo día.
de la seguridad de la información, la fiabilidad financiera, y Es importante tener en cuentas las consideraciones técnicas al
también su participación en investigación y desarrollo (I + D) momento de implementar estos sistemas ya que no todos estos
funcionan a plenitud en las distintas infraestructuras de red es
por eso que se debe realiza un análisis previo a la red para
poder elegir la mejor opción disponible.

REFERENCIAS
[1] R. M. Perurena, W. B. García, and J. P. Rubier, “Gestión
automatizada e integrada de controles de seguridad informática,”
Ing. Electrónica, Automática y Comun., vol. 34, no. 1, pp. 40–58,
2013.
[2] I. Anastasov and D. Davcev, “SIEM implementation for global and
distributed environments,” in 2014 World Congress on Computer
Applications and Information Systems, WCCAIS 2014, 2014, pp. 1–
6.
[3] I. Pico, B. Fernando, M. Tutor, I. Baño, N. Freddy, and P. M. Sc,
“‘SIEM BAJO SOFTWARE LIBRE PARA LA SEGURIDAD
OPERACIONAL EN LAS PYMES DE LA CIUDAD DE
PELILEO,’” UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS
ANDES “UNIANDES,” 2016.
[4] S. S. Sekharan and K. Kandasamy, “Profiling SIEM Tools and
Correlation Engines for Security Analytics,” 2017 Int. Conf. Wirel.
Commun. Signal Process. Netw., pp. 717–721, Mar. 2017.
[5] M. Nabil, S. Soukainat, A. Lakbabi, and O. Ghizlane, “SIEM
selection criteria for an efficient contextual security,” in 2017
International Symposium on Networks, Computers and
Communications, ISNCC 2017, 2017, pp. 1–6.
[6] J.-H. Lee, Y. S. Kim, J. H. Kim, and I. K. Kim, “Toward the SIEM
architecture for cloud-based security services,” in 2017 IEEE
Conference on Communications and Network Security (CNS), 2017,
pp. 398–399.
[7] J. Pedroza, “Implementación de un Gestor de Seguridad de la
Información y Gestión de Eventos (SIEM),” p. 71, 2016.
[8] R. Morales and C. Guerrero, ““IMPLEMENTACIÓN DEL
SISTEMA DE GESTIÓN DE EVENTOS DE SEGURIDAD DE LA
INFORMACIÓN (OSSIM) EN LA INFRAESTRUCTURA DE
RED DEL GAD DE LA PROVINCIA DE CHIMBORAZO “,”
Escuela Superior Politecnica de Chimborazo, 2015.
[9] V. Vianello et al., “A scalable SIEM correlation engine and its
application to the olympic games it infrastructure,” in Proceedings -
2013 International Conference on Availability, Reliability and
Security, ARES 2013, 2013, pp. 625–629.
[10] R. Leszczyna and M. R. Wrobel, “Evaluation of open source SIEM
for situation awareness platform in the smart grid environment,” in
2015 IEEE World Conference on Factory Communication Systems
(WFCS), 2015, pp. 1–4.