SlideShare una empresa de Scribd logo

Lectura 4.2 siem fabricantes

Sterling D
Sterling D

Este documento proporciona información sobre SIEM (Security Information and Event Management) y los principales fabricantes de soluciones SIEM. Resume los criterios de evaluación y posicionamiento de fabricantes en los informes de Forrester y Gartner. Destaca a IBM QRadar y Splunk como líderes del mercado según ambos informes, y describe brevemente sus principales características y arquitecturas.

Software
1 de 15
Descargar para leer sin conexión
SIEM (Security Information and Event Management) SIEM Fabricantes Introducción Múltiples fabricantes ofrecen soluciones de SIEM para las empresas, cada una de ellas con sus propias características, como ya hemos visto. Además de estos fabricantes, diversas consultoras realizan clasificaciones de estas tecnologías para que los clientes tengan información independiente sobre cada una de ellas y puedan elegir en base a ello. Informe Forrester Forrester Research es una empresa independiente de investigación de mercados que analiza y asesora sobre el impacto actual y potencial de distintas tecnologías en las empresas. La empresa presta labores de consultoría para sus clientes y asesora sobre una amplia gama de productos, eventos y talleres. Con el paso del tiempo, los informes de Forrester sobre distintas familias de herramientas como DLP, WAF, Antivirus, endpoints, etc., se han convertido en consulta casi obligada por las empresas cuando se plantean la necesidad de incorporar estas tecnologías en sus empresas. 1. Criterios de evaluación Forrester establece 36 puntos de control contra los que evalúa a los diferentes fabricantes para establecer el grado de cumplimiento o satisfacción de dichos controles y determinar así el posicionamiento en dicho cuadrante. Estos 36 controles se agrupan en tres grandes grupos: 1. Servicios ofertados: es el que determina la coordenada de ordenadas (eje vertical) en el eje de coordenadas. Se evalúan criterios como arquitecturas, capacidades de detección, priorización de riesgos y amenazas, gestión de eventos, Threat Intelligence, capacidad de generar informes y cuadros de mando, flexibilidad, posibilidades de automatización, experiencia y grado de satisfacción de los usuarios. A mayor nivel de madurez, más alto se encuentra en el eje vertical 2. Estrategia: es el que determina la coordenada de abscisas (eje horizontal) en el eje de coordenadas. Se consideran factores como nivel de acuerdos con proveedores,
roadmap de evolución del producto, modelo de implantación, precio, etc. Cuanto mejor definida este la estrategia, más a la derecha se encontrará el producto. 3. Presencia en el mercado: el tamaño de las distintas burbujas viene determinado por el número de implantaciones realizadas en distintos clientes, así como el grado de satisfacción de los clientes, revenue, etc. 4. Ilustración 1: Informe Forrester 2017, Fuente: Forrester Como se puede observar en la figura anterior que pertenece al informe publicado en diciembre de 2017, en la parte de Leaders, destaca por encima de todos IBM Qradar, después Splunk y, a un nivel muy parecido LogRhtym, RSA y HP ArcSight (actualmente MicroFocus). Informe Gartner Gartner Inc. es una empresa consultora y de investigación de las tecnologías de la información fundada en 1979 que se centra en la investigación, programas ejecutivos, consultas y eventos.
De igual modo que los informes de Forrester, los cuadrantes mágicos de Gartner que se publican anualmente son referencia y un gran apoyo para las empresas a la hora de tomar decisión sobre diferentes productos. 1. Criterios de evaluación Gartner establece dos principales categorías en las que se aglutinan los diferentes criterios de evaluación. Estas categorías son: 1. Facilidad de ejecución: dentro de esta categoría se evalúan criterios como la experiencia de los usuarios, la experiencia, las capacidades de venta, posventa, soporte, presencia en distintos mercados de la compañía, y un largo etc. 2. Visibilidad: dentro de esta categoría, se evalúan criterios como la estrategia de marketing y venta, el entendimiento del mercado, la capacidad y estrategia de la compañía para desarrollar el producto, la innovación, el ajuste a distintos sectores e industrias, etc. En base a dichos criterios, el cuadrante se divide en lideres (LEADERS), potenciales (CHALLENGERS), visionarios (VISIONARIES) y sectoriales o de nicho (NICHE PLAYERS). Ilustración 2: Cuadrante mágico de Gartner 2017, Fuente: Gartner
Como se puede observar en la imagen anterior, Gartner destaca también IBM Qradar y Splunk como líderes (al igual que Forrester) e incluye en dicho grupo LogRhythm y McAfee ESM y ubica a MicroFocus ArcSight y RSA NetWitness en el cuadrante de potenciales. Como se puede apreciar, en ambos informes se encuentran casi los mismos fabricantes y ambos coinciden en destacar a IBM y Splunk claramente por encima del resto. Ahora revisaremos las cualidades de ambos, así como los aspectos en los que se diferencian. Fabricantes En cuanto a los distintos fabricantes, nos vamos a centrar en detalle en los dos fabricantes que ambos informes coinciden en posicionar como los líderes actuales del mercado. Ambos llevan siendo líderes indiscutibles desde hace tres años, cada uno con sus puntos fuertes y débiles. Explicaremos también en detalla MicroFocus ArcSight por ser uno de los productos con más experiencia en el mercado, que lideró ambos informes durante 8 años seguidos y que, en la actualidad, se encuentra en horas bajas. También explicaremos, aunque no en tanta profundidad, el resto de principales participantes como LogRhythm, RSA McAfee. Vamos a afrontar la explicación de cada uno de los productos siguiendo el acercamiento establecido durante el curso, definiendo cómo se realiza la recolección, almacenamiento, correlación y presentación de información en cada uno de los productos. Ilustración 3: Logo QRadar, Fuente: QRadar
1. IBM Qradar Qradar es un producto que nació en 2001 de la mano de Q1Lab y que fue comprado por IBM en 2011. Desde hace dos años, lidera los informes de Forrester y Gartner por distintos motivos, pero principalmente, debido a que cubre todas las necesidades que se pueden relacionar con un SIEM. Los principales componentes de Qradar siguiendo el modelo de capas son: 1. Capa de recolección: la recolección de eventos se puede realizar de diferentes formas en Qradar. La más común es la utilización del Event Collector, componente que puede ser tanto virtual como físico, desde donde se puede configurar la recolección de la mayoría de las tecnologías. Para los eventos relacionados con productos Microsoft, existe un agente llamado WinCollect que es el encargado de la recolección de dichos eventos (Windows, DNS, DHCP, SCCM, etc.). Para el caso de los Flows, existe un componente dedicado llamado Flow Collector. La capa de recolección es donde se realiza la normalización y parseo de los eventos. 2. Capa de correlación: la capa de correlación en Qradar al proporciona el componente llamado Event Processor. En el caso de los flows, el componente se llama Flow Processor y, al igual que en la capa de recolección, los componentes pueden ser tanto físicos como virtuales. 3. Capa de almacenamiento: el almacenamiento por defecto de los eventos se realiza en la capa de correlación y es posible añadir un componente denominado Data Nodo para realizar un almacenamiento de larga duración. 4. Capa de presentación: la capa de presentación se denomina Qradar Console. Es una interfaz web desde donde se centraliza la administración de los distintos componentes de la solución. Junto con los distintos componentes mencionados en las distintas capas, la solución de IBM añade otros componentes opcionales que complementan el ecosistema del SIEM y que interactúan entre ellos de manera que proporcionan una herramienta de orquestación de seguridad central para las empresas. Estos componentes son:
- Vulnerability Manager: modulo que se encarga de realizar los escaneos de vulnerabilidad, incorporar la información a la base de datos de activos del SIEM y que sirve también para la gestión de las vulnerabilidades desde el punto de vista del seguimiento y remediación. - Risk Manager: dispositivo que se instala de forma independiente y que sirve para supervisar configuraciones de dispositivos como routers o switches para identificar cambios en entornos de red y priorizar riesgos. - X-Force: es el nombre que recibe el module de Threat Intelligence en Qradar. Sirve para incorporar feeds de inteligencia, tanto propios de IBM como de terceros y que provee una serie de casos de uso para la monitorización del tráfico contra dichos feeds. - UBA: aplicación que se puede añadir desde la consola y que proporciona la capacidad de realizar análisis de patrones y tendencias de usuarios y activos. No se trata de una integración nativa, sino una app que ofrece ciertas características de monitorización. Ejemplos de reglas que aporta la app por defecto son: • detección de sesiones SSH persistentes • modificación de conexiones a internet • detección de actividad relacionada con malware • usuario ejecutando un proceso no autorizado • usuario instalando una aplicación no autorizada - Watson: es una aplicación que ayuda a la investigación y análisis de las alertas en Qradar añadiendo información sobre los distintos parámetros de las alertas. Por ejemplo, información sobre las direcciones IP públicas, identificando patrones de eventos con tipologías de ataques, etc. La idea de enriquecer los eventos con esta información es la de ayudar a los analistas a descartar los falsos positivos de las alertas reales, ofreciendo la posibilidad centrar los esfuerzos en lo realmente importante. 1. Arquitecturas
Una de las principales ventajas de Qradar es la flexibilidad a la hora de realizar distintas arquitecturas. La existencia de diferentes componentes y el poder configurarlos tanto en modo físico como en virtual ofrecen una gran flexibilidad a los arquitectos. La opción de arquitectura más simple es mediante el uso del componente conocido como AllIn1, que aglutina el event collector, event processor y consola en una misma máquina, permitiendo realizar la recolección, correlación y presentación desde una única máquina. El principal inconveniente es el limitado número de eventos que puede procesar. Arquitecturas más complicadas pueden incluir soluciones para alta disponibilidad y recuperación ante desastres. 2. Licenciamiento El licenciamiento en IBM se realiza contabilizando los mensajes por segundo (MPS), de tal forma que, además de las licencias de software y el mantenimiento, se deben comparar licencias de eventos para la cantidad de eventos que se quieran procesar. Si la solución intenta recibir más eventos de los que tiene licenciados, automáticamente los descartará. 3. Puntos fuertes vs puntos débiles: Puntos fuertes: • Facilidad de instalación. La modularidad de la solución hace que sea sencillo instalar el SIEM en una única máquina y comenzar a recolectar eventos. La consola de acceso es únicamente web. • Gran cantidad de contenido out of the box que permite que, desde el primer momento, resulte fácil acceder a la información por la cantidad de informes y dashboards preconfigurados. • Diseñada para aportar funcionalidades de alta disponibilidad (HA) y recuperación ante desastres (Disaster recovery). • Existencia de un MarketPlace donde los usuarios crean “aplicaciones” de sencilla integración donde se automatiza la interacción con herramientas de terceros. Puntos débiles: • Plataforma monocliente. No está diseñada para ser multitenant. • No todos los campos de los eventos son normalizados en la capa de recolección.
• Pobre gestión de incidentes. Qradar es capaz de generar ofensas basadas en casos de uso, pero las gestiones de dichas ofensas se reducen a la notificación y acciones asociadas. Ilustración 4: Logo Splunk, Fuente: Splunk 2. Splunk Nació en 2003 como una herramienta de Big Data cuya principal misión era la recolección de grandes cantidades de datos, su almacenamiento y proveer al usuario de una interfaz rápida e intuitiva de acceso a dicha información. No es una herramienta enfocada a la seguridad y permite realizar tareas complejas de análisis y representación de la información. Tiene una arquitectura muy intuitiva basada en Maestros – esclavos. Los principales componentes de Splunk siguiendo el modelo de capas son: • Capa de recolección: existen dos mecanismos principales para realizar la recolección, uno basado en un agente llamado Universal Forwarder que se puede desplegar en diferentes entornos (Windows, Linux, etc.) para la recolección de eventos (ficheros, WMI, syslog, etc.); y el otro mecanismo es el Heavy Forwarder, que es un componente no intrusivo (se instala en una máquina independiente) que se encarga de recibir los eventos que las tecnologías le envían. • Capa de correlación y almacenamiento: en Splunk no están separadas estas capas y ambas tareas se realizan en un mismo componente llamado Indexer. • Capa de presentación: es el nodo maestro de la solución que sirve como consola centralizada para realizar las búsquedas en los distintos esclavos distribuidos. Contiene el resumen de índices y su ubicación en los distintos indexers y se denomina Search Head. • Elementos de control: dentro de esta categoría estaría el Master Cluster, el license Server y el Deployment Server, instancias utilizadas en entornos distribuidos para
gestionar la replicación entre los distintos cluster de componentes (indexer, Search Head). 1. Arquitecturas Una de las principales ventajas que tiene Splunk es que no es necesario licenciar el número de sistemas que componen la arquitectura. Por lo tanto, diseñar arquitectura pensando en tenerlas HA (High Availability) /HP (High Performance) no implica un coste mayor de licenciamiento. De manera adicional, Splunk es un software por lo que es posible instalarlo en servidores reciclados, siempre que cubran los requerimientos necesarios, por lo que es conocido por usar el concepto de “commodity hardware” El despliegue más simple es un servidor con todos los componentes, “Allin1” o generar una arquitectura distribuida, con o sin HA. 2. Licenciamiento El licenciamiento de Splunk está basado en la ingesta diaria de logs en los indexadores, al contrario que otros SIEM que licencian por EPS, en Splunk si el dato es indexado, es cuantificado para la licencia. Actualmente existe dos tipos de licenciamiento: • Suscripción: Se trata de licencias que se pagan normalmente con una periodicidad anual, pero es posible contratar periodicidades más pequeñas. • Perpetua: Se paga una cantidad inicial y luego solo se paga soporte anual, que es aproximadamente el 20% del coste inicial. Existen otras variantes que afecta al licenciamiento, como son el módulo de UBA y la aplicación Splunk Enterprise Security. 3. Puntos fuertes vs puntos débiles: Puntos fuertes: • Búsquedas. Es, con diferencia, el mejor motor de búsquedas tanto en términos de eficiencia como a nivel de flexibilidad. • Completamente personalizable: la gran variedad de aplicaciones desarrolladas por la comunidad de usuarios, como la facilidad de creación de aplicaciones propias
hace que las instancias de Splunk de una empresa a otra no tengan nada que ver entre ellas. • Interfaz de acceso muy clara e intuitiva. • La falta de normalización hace que la recolección se realice de forma más ágil. • La modularidad de la solución hace que sea fácilmente escalable. Puntos débiles: • No es una herramienta SIEM al uso. Se trata más bien de una herramienta de big data en la que toda la inteligencia se tiene que aplicar por parte del usuario (aunque existen múltiples aplicaciones ya desarrolladas) • La correlación no es tan flexible como en otras herramientas. • La compresión de los eventos recibidos no es tan eficiente como en otras soluciones. Ilustración 5: Logo ArcSight, Fuente: ArcSight 3. MicroFocus ArcSight ArcSight es una empresa de seguridad fundada en el 2000. Está diseñado para identificar y priorizar las amenazas de seguridad, organizar y realizar un seguimiento de las actividades de respuesta a incidentes y simplificar las actividades de auditoría y cumplimiento. Mayo de 2013 marcó el décimo año consecutivo en que el Cuadrante Mágico de Gartner para SIEM calificó a ArcSight en el cuadrante del líder. Se convirtió en una subsidiaria de Hewlett-Packard en 2010. En 2017, HP vende la tecnología a Micro Focus, que es quien se encarga en la actualidad de la distribución y el soporte del producto. Los principales componentes de ArcSight siguiendo el modelo de capas son: 1. Capa de recolección: está basada en agentes llamados Connectors que se encargan de recibir/leer los eventos de distintas tecnologías. Al recibir los eventos, estos son normalizados permitiendo realizar distintas tareas sobre ellos como el filtrado, agregación, categorización y normalización. ArcSight provee soporte nativo para más de 300 tecnologías distintas mediante los conectores llamados
SmartConnectors y ofrece un framework de desarrollo de conectores para las tecnologías que no son soportadas de forma nativa por el fabricante llamado FlexConnector. 2. Capa de correlación y presentación: es el componente principal del SIEM, llamado ESM (Enterprise Security Manager), que se encarga de la correlación de eventos y el acceso a ellos. 3. Capa de almacenamiento: el almacenamiento principal de eventos se realiza en el ESM, pero existe otro componente llamado Logger que permite un almacenamiento de larga duración más óptimo y de fácil acceso mediante una interfaz web con potentes capacidades de búsqueda y presentación de la información. Otros componentes de la solución: 1. ArcMC: componente de gestión centralizada de los conectores que permite una administración centralizada de ellos. 2. Activate Framework: componente creado para compartir y distribuir reglas de correlación de forma centralizada. 1. Arquitecturas ArcSight no posee la misma flexibilidad en cuanto a arquitectura. La capa de recolección puede ser todo lo distribuida que se requiera, pero la correlación/presentación se debe realizar centralizada. Tiene capacidades de configuración en alta disponibilidad con unos requerimientos de recursos hardware muy elevados. 2. Licenciamiento El licenciamiento en ArcSight se realiza contando los gigabytes al día recibidos (GB/day), de tal forma que, además de las licencias de software y el mantenimiento, se deben comprar licencias para la cantidad de gigabytes que se quieran procesar. Si la solución intenta recibir más eventos de los que tiene licenciados, ArcSight permite pasarse hasta en 5 ocasiones en 30 días sin perder funcionalidades. Si se superan en más de 5 ocasiones, se limita el acceso a distintas funcionalidades de la solución.
3. Puntos fuertes vs. puntos débiles: Puntos fuertes: • Amplia cobertura tecnológica de forma nativa. • Separación lógica entre la capa de correlación y la capa de almacenamiento. • Normalización, agregación y filtrado antes en capa de recolección. • Plataforma multicliente de manera nativa. • Pattern discovery: herramienta de detección de amenazas que, en base a búsquedas predefinidas, permite la detección de patrones de comportamiento. Puntos débiles: • Herramienta compleja de implantar y administrar. • Elevado coste de licenciamiento. • Pobre capacidad de presentación de informes y cuadros de mandos. • Existe la posibilidad de alta disponibilidad con altos requisitos tanto de máquina como de comunicaciones. 4. Otros fabricantes Ilustración 6: Logo McAfee (Intel Security), Fuente: McAfee (Intel Security) 1. McAfee ESM McAfee en 2011 compró Nitro Security para entrar en el espacio SIEM y, posteriormente, se hizo cargo de Intel. Este período de 2011, de hecho, vio algunas cosas suceder en el espacio de mercado de SIEM. Esto incluye HP comprando ArcSight, IBM comprando QRadar y McAfee comprando Nitro, etc. Cada uno de esos productos SIEM ha tomado una ruta diferente en los últimos 3 años. La seguridad de Nitro era uno de esos actores de nicho en el mercado que tenía una cartera de IPS y una cartera de SIEM, cuyos restos aún permanecen en el conjunto de productos de McAfee ESM.
Los principales componentes de McAfee ESM siguiendo el modelo de capas son: 1. Capa de recolección: llamada Receivers es la encargada de recolectar los eventos de las distintas fuentes. 2. Capa de correlación: recibe el nombre de ACE por sus siglas en inglés Advance Correlation Engine. 3. Capa de almacenamiento: denominado ELM, de Enterprise Log Management. 4. Capa de presentación: Denominado ESM, es el punto central de la solución que realiza las tareas de orquestación de los distintos componentes. 4.1 Puntos fuertes vs. puntos débiles: Puntos fuertes: • El gran modularidad de la solución hace que sea sencillo y escalable el diseño de arquitecturas, así como su implementación. • La rapidez de la solución en términos de búsquedas y generación de informes. Al hacer uso de una base de datos no relacional propietaria (NitroEDB) permite que el procesamiento de datos se realice en memoria, agilizando las búsquedas y permitiendo una ingesta de datos muy elevada. • La generación e integración de eventos de monitorización de bases de datos y aplicaciones mediante las herramientas dedicadas. • Posibilidad de realizar correlación histórica, sobre eventos del pasado. • Buena integración con protocolos SCADA. Puntos débiles: • Debido a la existencia de tantos “módulos” uno de los principales problemas es la estabilidad de la plataforma y la cantidad de ancho de banda consumida entre los distintos módulos. • La correlación es más limitada que en otros productos. • La integración de fuentes no soportada de manera nativa no es sencilla debido a que no existe un framework de desarrollo. • La interfaz de usuario, aunque de acceso web no es todo lo intuitiva que podría ser (muy parecida a ePO o NSM).
Ilustración 6: Logo LogRhythm, Fuente:LogRhythm 2. LogRhythm Compañía fundada en 2003 en USA que ofrece una solución SIEM orientada a la detección y rápida respuesta ante incidentes. Los distintos elementos que componen la solución de SIEM son: Event Manager (EM): componente de administración centralizada y consola central de administración/explotación. Log Manager (LM): se divide en dos componentes, Data Procesors (DP) y Data Indexer, donde se realiza la recolección e indexación de eventos (capa de recolección y capa de almacenamiento). AI Engine (AIE): componente donde se realiza la correlación de eventos (capa de correlación) Network Monitor: componente donde se centraliza la recolección de flujos. 1. Puntos fuertes vs Puntos débiles Puntos fuertes: • Combina las funcionalidades de SIEM con las de monitorización de sistemas finales. • Integra de forma nativa soluciones de UEBA (user and entity behaviour analytics) y gestión de incidentes. • Incorpora capacidades de respuesta automatizada frente a incidentes y permite la ejecución de acciones en sistemas remotos • Proporciona una experiencia de usuario altamente interactiva y personalizable, con flujos de trabajo de integración de contexto dinámico y monitoreo de seguridad. Puntos débiles: • Solución cara de desplegar debido al elevado número de indexadores que se necesitan para procesar grandes cantidades de eventos (+10,000 eps). • Tecnología muy completa pero menos extendida que el resto de fabricantes, posiblemente al no tener una gran compañía por detrás que la respalde.
Resumen En esta última unidad del curso hemos profundizado en las distintas tecnologías disponibles en el mercado, entrando en detalle en cómo afrontan cada una de ellas las distintas arquitecturas y capas explicadas en detalle durante el curso. Hemos tratado, además, los puntos fuertes y débiles de cada una de las soluciones y terminado la lección con una comparativa entre los productos que, históricamente, se han mostrado como los productos más sólidos y ampliamente reconocidos en el mercado. Para delimitar el alcance de los fabricantes, hemos hecho uso de los informes que publican anualmente distintas consultoras independientes en los que analizan las distintas tecnologías y las clasifican de acuerdo a distintos criterios. Los informes de referencia que utilizaremos serán el cuadrante mágico de Gartner y el informe de Forrester. Glosario • Informe Forrester: informes elaborados por la empresa independiente de investigación de mercados, Forrester Research, que se han convertido en una consulta casi obligada por las empresas cuando se plantean la necesidad de incorporar tecnologías como DLPs, WAFs, Antivirus, etc, en sus empresas. • Informe Gartner: cuadrantes mágicos elaborados por la empresa consultora Gartner Inc. que se publican anualmente y son referencia y un gran apoyo para las empresas a la hora de tomar decisión sobre diferentes productos. Bibliografía Forrester: https://go.forrester.com/ Gartner: https://www.gartner.com/smarterwithgartner/

Recomendados

Jamuna bank limited probationary officer
Jamuna bank limited probationary officerJamuna bank limited probationary officer
Jamuna bank limited probationary officerMohonDas
 
Introducción a la Norma ISO 9001
Introducción a la Norma ISO 9001Introducción a la Norma ISO 9001
Introducción a la Norma ISO 9001CBDMQ2016
 
Directv Media Kit 9.3.09
Directv Media Kit 9.3.09Directv Media Kit 9.3.09
Directv Media Kit 9.3.09guest4ec7a0
 
Menu Lua Dai Viet Restaurant update 01-2023
Menu Lua Dai Viet Restaurant update 01-2023Menu Lua Dai Viet Restaurant update 01-2023
Menu Lua Dai Viet Restaurant update 01-2023Lua Dai Viet Restaurant
 
Mapa conceputal ohsas
Mapa conceputal ohsasMapa conceputal ohsas
Mapa conceputal ohsasAlejandro Arbelaez
 
Documentacion commit soft erp (1)rosa (2)
Documentacion commit soft erp (1)rosa (2)Documentacion commit soft erp (1)rosa (2)
Documentacion commit soft erp (1)rosa (2)Paul Taco
 
Nancy Adilene Gonzalez Sifuentes
Nancy Adilene Gonzalez Sifuentes Nancy Adilene Gonzalez Sifuentes
Nancy Adilene Gonzalez Sifuentes Adiilenee G De Vazqqez
 
Tecnologias estrategicas gartner
Tecnologias estrategicas gartnerTecnologias estrategicas gartner
Tecnologias estrategicas gartnerKarla
 

Recomendados

Jamuna bank limited probationary officer
Jamuna bank limited probationary officerJamuna bank limited probationary officer
Jamuna bank limited probationary officerMohonDas
 
Introducción a la Norma ISO 9001
Introducción a la Norma ISO 9001Introducción a la Norma ISO 9001
Introducción a la Norma ISO 9001CBDMQ2016
 
Directv Media Kit 9.3.09
Directv Media Kit 9.3.09Directv Media Kit 9.3.09
Directv Media Kit 9.3.09guest4ec7a0
 
Menu Lua Dai Viet Restaurant update 01-2023
Menu Lua Dai Viet Restaurant update 01-2023Menu Lua Dai Viet Restaurant update 01-2023
Menu Lua Dai Viet Restaurant update 01-2023Lua Dai Viet Restaurant
 
Mapa conceputal ohsas
Mapa conceputal ohsasMapa conceputal ohsas
Mapa conceputal ohsasAlejandro Arbelaez
 
Documentacion commit soft erp (1)rosa (2)
Documentacion commit soft erp (1)rosa (2)Documentacion commit soft erp (1)rosa (2)
Documentacion commit soft erp (1)rosa (2)Paul Taco
 
Nancy Adilene Gonzalez Sifuentes
Nancy Adilene Gonzalez Sifuentes Nancy Adilene Gonzalez Sifuentes
Nancy Adilene Gonzalez Sifuentes Adiilenee G De Vazqqez
 
Tecnologias estrategicas gartner
Tecnologias estrategicas gartnerTecnologias estrategicas gartner
Tecnologias estrategicas gartnerKarla
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
DDS
DDSDDS
DDSAlumic S.A
 
Tic`s
Tic`sTic`s
Tic`sluisa
 
Tic`s
Tic`sTic`s
Tic`sdaniel
 
Taller Tics
Taller TicsTaller Tics
Taller Ticsjmoralescastro930411
 
Tic`s luisa
Tic`s luisaTic`s luisa
Tic`s luisaluisa
 
Trabajo de auditoria
Trabajo de auditoriaTrabajo de auditoria
Trabajo de auditoriaDiego Espinoza A
 
Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4Itconic
 
Presentación de DQSinsights: Visualiza y analiza los datos de tu empresa ¡ya!
Presentación de DQSinsights: Visualiza y analiza los datos de tu empresa ¡ya!Presentación de DQSinsights: Visualiza y analiza los datos de tu empresa ¡ya!
Presentación de DQSinsights: Visualiza y analiza los datos de tu empresa ¡ya!DQSconsulting
 
B dtrab4
B dtrab4B dtrab4
B dtrab4Maryy Aqua
 
UNIDAD 5 DIAPOSITIVAS
UNIDAD 5 DIAPOSITIVASUNIDAD 5 DIAPOSITIVAS
UNIDAD 5 DIAPOSITIVASANGELITA ANGELITA
 
Bayer BI Microstrategy
Bayer BI MicrostrategyBayer BI Microstrategy
Bayer BI MicrostrategyTeresa Malagon Martínez
 
PROYECTO DE TESIS SISTEMA INTEGRAL DE COMPRA Y VENTA
PROYECTO DE TESIS SISTEMA INTEGRAL DE COMPRA Y VENTAPROYECTO DE TESIS SISTEMA INTEGRAL DE COMPRA Y VENTA
PROYECTO DE TESIS SISTEMA INTEGRAL DE COMPRA Y VENTARoyer Tuesta Salas
 
Evidencia 2
Evidencia 2Evidencia 2
Evidencia 2Henry Gómez
 
Analítica de Datos
Analítica de Datos Analítica de Datos
Analítica de DatosBrendadeJessCruzLpez
 
Business Intelligent
Business IntelligentBusiness Intelligent
Business Intelligentamade1
 
0001-Informe de Factibilidad de Proyecto (1).docx
0001-Informe de Factibilidad de Proyecto (1).docx0001-Informe de Factibilidad de Proyecto (1).docx
0001-Informe de Factibilidad de Proyecto (1).docxBrayanPUMAVILLA
 
RA 2101010130 Diapositivas lectura 2
RA 2101010130 Diapositivas lectura 2RA 2101010130 Diapositivas lectura 2
RA 2101010130 Diapositivas lectura 2pau1994
 
Semana 14
Semana 14Semana 14
Semana 14Luis Manuel Saavedra Sandoval
 

Más contenido relacionado

Similar a Lectura 4.2 siem fabricantes

Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
Tic`s
Tic`sTic`s
Tic`sluisa
 
Tic`s luisa
Tic`s luisaTic`s luisa
Tic`s luisaluisa
 
Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4Itconic
 
Presentación de DQSinsights: Visualiza y analiza los datos de tu empresa ¡ya!
Presentación de DQSinsights: Visualiza y analiza los datos de tu empresa ¡ya!Presentación de DQSinsights: Visualiza y analiza los datos de tu empresa ¡ya!
Presentación de DQSinsights: Visualiza y analiza los datos de tu empresa ¡ya!DQSconsulting
 
PROYECTO DE TESIS SISTEMA INTEGRAL DE COMPRA Y VENTA
PROYECTO DE TESIS SISTEMA INTEGRAL DE COMPRA Y VENTAPROYECTO DE TESIS SISTEMA INTEGRAL DE COMPRA Y VENTA
PROYECTO DE TESIS SISTEMA INTEGRAL DE COMPRA Y VENTARoyer Tuesta Salas
 
Business Intelligent
Business IntelligentBusiness Intelligent
Business Intelligentamade1
 
0001-Informe de Factibilidad de Proyecto (1).docx
0001-Informe de Factibilidad de Proyecto (1).docx0001-Informe de Factibilidad de Proyecto (1).docx
0001-Informe de Factibilidad de Proyecto (1).docxBrayanPUMAVILLA
 
RA 2101010130 Diapositivas lectura 2
RA 2101010130 Diapositivas lectura 2RA 2101010130 Diapositivas lectura 2
RA 2101010130 Diapositivas lectura 2pau1994
 

Similar a Lectura 4.2 siem fabricantes (20)

Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
 
DDS
DDSDDS
DDS
 
Tic`s
Tic`sTic`s
Tic`s
 
Tic`s
Tic`sTic`s
Tic`s
 
Taller Tics
Taller TicsTaller Tics
Taller Tics
 
Tic`s luisa
Tic`s luisaTic`s luisa
Tic`s luisa
 
Trabajo de auditoria
Trabajo de auditoriaTrabajo de auditoria
Trabajo de auditoria
 
Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4
 
Presentación de DQSinsights: Visualiza y analiza los datos de tu empresa ¡ya!
Presentación de DQSinsights: Visualiza y analiza los datos de tu empresa ¡ya!Presentación de DQSinsights: Visualiza y analiza los datos de tu empresa ¡ya!
Presentación de DQSinsights: Visualiza y analiza los datos de tu empresa ¡ya!
 
B dtrab4
B dtrab4B dtrab4
B dtrab4
 
UNIDAD 5 DIAPOSITIVAS
UNIDAD 5 DIAPOSITIVASUNIDAD 5 DIAPOSITIVAS
UNIDAD 5 DIAPOSITIVAS
 
Bayer BI Microstrategy
Bayer BI MicrostrategyBayer BI Microstrategy
Bayer BI Microstrategy
 
PROYECTO DE TESIS SISTEMA INTEGRAL DE COMPRA Y VENTA
PROYECTO DE TESIS SISTEMA INTEGRAL DE COMPRA Y VENTAPROYECTO DE TESIS SISTEMA INTEGRAL DE COMPRA Y VENTA
PROYECTO DE TESIS SISTEMA INTEGRAL DE COMPRA Y VENTA
 
Evidencia 2
Evidencia 2Evidencia 2
Evidencia 2
 
Analítica de Datos
Analítica de Datos Analítica de Datos
Analítica de Datos
 
Business Intelligent
Business IntelligentBusiness Intelligent
Business Intelligent
 
0001-Informe de Factibilidad de Proyecto (1).docx
0001-Informe de Factibilidad de Proyecto (1).docx0001-Informe de Factibilidad de Proyecto (1).docx
0001-Informe de Factibilidad de Proyecto (1).docx
 
RA 2101010130 Diapositivas lectura 2
RA 2101010130 Diapositivas lectura 2RA 2101010130 Diapositivas lectura 2
RA 2101010130 Diapositivas lectura 2
 
Semana 14
Semana 14Semana 14
Semana 14
 

Lectura 4.2 siem fabricantes

  • 1. SIEM (Security Information and Event Management) SIEM Fabricantes Introducción Múltiples fabricantes ofrecen soluciones de SIEM para las empresas, cada una de ellas con sus propias características, como ya hemos visto. Además de estos fabricantes, diversas consultoras realizan clasificaciones de estas tecnologías para que los clientes tengan información independiente sobre cada una de ellas y puedan elegir en base a ello. Informe Forrester Forrester Research es una empresa independiente de investigación de mercados que analiza y asesora sobre el impacto actual y potencial de distintas tecnologías en las empresas. La empresa presta labores de consultoría para sus clientes y asesora sobre una amplia gama de productos, eventos y talleres. Con el paso del tiempo, los informes de Forrester sobre distintas familias de herramientas como DLP, WAF, Antivirus, endpoints, etc., se han convertido en consulta casi obligada por las empresas cuando se plantean la necesidad de incorporar estas tecnologías en sus empresas. 1. Criterios de evaluación Forrester establece 36 puntos de control contra los que evalúa a los diferentes fabricantes para establecer el grado de cumplimiento o satisfacción de dichos controles y determinar así el posicionamiento en dicho cuadrante. Estos 36 controles se agrupan en tres grandes grupos: 1. Servicios ofertados: es el que determina la coordenada de ordenadas (eje vertical) en el eje de coordenadas. Se evalúan criterios como arquitecturas, capacidades de detección, priorización de riesgos y amenazas, gestión de eventos, Threat Intelligence, capacidad de generar informes y cuadros de mando, flexibilidad, posibilidades de automatización, experiencia y grado de satisfacción de los usuarios. A mayor nivel de madurez, más alto se encuentra en el eje vertical 2. Estrategia: es el que determina la coordenada de abscisas (eje horizontal) en el eje de coordenadas. Se consideran factores como nivel de acuerdos con proveedores,
  • 2. roadmap de evolución del producto, modelo de implantación, precio, etc. Cuanto mejor definida este la estrategia, más a la derecha se encontrará el producto. 3. Presencia en el mercado: el tamaño de las distintas burbujas viene determinado por el número de implantaciones realizadas en distintos clientes, así como el grado de satisfacción de los clientes, revenue, etc. 4. Ilustración 1: Informe Forrester 2017, Fuente: Forrester Como se puede observar en la figura anterior que pertenece al informe publicado en diciembre de 2017, en la parte de Leaders, destaca por encima de todos IBM Qradar, después Splunk y, a un nivel muy parecido LogRhtym, RSA y HP ArcSight (actualmente MicroFocus). Informe Gartner Gartner Inc. es una empresa consultora y de investigación de las tecnologías de la información fundada en 1979 que se centra en la investigación, programas ejecutivos, consultas y eventos.
  • 3. De igual modo que los informes de Forrester, los cuadrantes mágicos de Gartner que se publican anualmente son referencia y un gran apoyo para las empresas a la hora de tomar decisión sobre diferentes productos. 1. Criterios de evaluación Gartner establece dos principales categorías en las que se aglutinan los diferentes criterios de evaluación. Estas categorías son: 1. Facilidad de ejecución: dentro de esta categoría se evalúan criterios como la experiencia de los usuarios, la experiencia, las capacidades de venta, posventa, soporte, presencia en distintos mercados de la compañía, y un largo etc. 2. Visibilidad: dentro de esta categoría, se evalúan criterios como la estrategia de marketing y venta, el entendimiento del mercado, la capacidad y estrategia de la compañía para desarrollar el producto, la innovación, el ajuste a distintos sectores e industrias, etc. En base a dichos criterios, el cuadrante se divide en lideres (LEADERS), potenciales (CHALLENGERS), visionarios (VISIONARIES) y sectoriales o de nicho (NICHE PLAYERS). Ilustración 2: Cuadrante mágico de Gartner 2017, Fuente: Gartner
  • 4. Como se puede observar en la imagen anterior, Gartner destaca también IBM Qradar y Splunk como líderes (al igual que Forrester) e incluye en dicho grupo LogRhythm y McAfee ESM y ubica a MicroFocus ArcSight y RSA NetWitness en el cuadrante de potenciales. Como se puede apreciar, en ambos informes se encuentran casi los mismos fabricantes y ambos coinciden en destacar a IBM y Splunk claramente por encima del resto. Ahora revisaremos las cualidades de ambos, así como los aspectos en los que se diferencian. Fabricantes En cuanto a los distintos fabricantes, nos vamos a centrar en detalle en los dos fabricantes que ambos informes coinciden en posicionar como los líderes actuales del mercado. Ambos llevan siendo líderes indiscutibles desde hace tres años, cada uno con sus puntos fuertes y débiles. Explicaremos también en detalla MicroFocus ArcSight por ser uno de los productos con más experiencia en el mercado, que lideró ambos informes durante 8 años seguidos y que, en la actualidad, se encuentra en horas bajas. También explicaremos, aunque no en tanta profundidad, el resto de principales participantes como LogRhythm, RSA McAfee. Vamos a afrontar la explicación de cada uno de los productos siguiendo el acercamiento establecido durante el curso, definiendo cómo se realiza la recolección, almacenamiento, correlación y presentación de información en cada uno de los productos. Ilustración 3: Logo QRadar, Fuente: QRadar
  • 5. 1. IBM Qradar Qradar es un producto que nació en 2001 de la mano de Q1Lab y que fue comprado por IBM en 2011. Desde hace dos años, lidera los informes de Forrester y Gartner por distintos motivos, pero principalmente, debido a que cubre todas las necesidades que se pueden relacionar con un SIEM. Los principales componentes de Qradar siguiendo el modelo de capas son: 1. Capa de recolección: la recolección de eventos se puede realizar de diferentes formas en Qradar. La más común es la utilización del Event Collector, componente que puede ser tanto virtual como físico, desde donde se puede configurar la recolección de la mayoría de las tecnologías. Para los eventos relacionados con productos Microsoft, existe un agente llamado WinCollect que es el encargado de la recolección de dichos eventos (Windows, DNS, DHCP, SCCM, etc.). Para el caso de los Flows, existe un componente dedicado llamado Flow Collector. La capa de recolección es donde se realiza la normalización y parseo de los eventos. 2. Capa de correlación: la capa de correlación en Qradar al proporciona el componente llamado Event Processor. En el caso de los flows, el componente se llama Flow Processor y, al igual que en la capa de recolección, los componentes pueden ser tanto físicos como virtuales. 3. Capa de almacenamiento: el almacenamiento por defecto de los eventos se realiza en la capa de correlación y es posible añadir un componente denominado Data Nodo para realizar un almacenamiento de larga duración. 4. Capa de presentación: la capa de presentación se denomina Qradar Console. Es una interfaz web desde donde se centraliza la administración de los distintos componentes de la solución. Junto con los distintos componentes mencionados en las distintas capas, la solución de IBM añade otros componentes opcionales que complementan el ecosistema del SIEM y que interactúan entre ellos de manera que proporcionan una herramienta de orquestación de seguridad central para las empresas. Estos componentes son:
  • 6. - Vulnerability Manager: modulo que se encarga de realizar los escaneos de vulnerabilidad, incorporar la información a la base de datos de activos del SIEM y que sirve también para la gestión de las vulnerabilidades desde el punto de vista del seguimiento y remediación. - Risk Manager: dispositivo que se instala de forma independiente y que sirve para supervisar configuraciones de dispositivos como routers o switches para identificar cambios en entornos de red y priorizar riesgos. - X-Force: es el nombre que recibe el module de Threat Intelligence en Qradar. Sirve para incorporar feeds de inteligencia, tanto propios de IBM como de terceros y que provee una serie de casos de uso para la monitorización del tráfico contra dichos feeds. - UBA: aplicación que se puede añadir desde la consola y que proporciona la capacidad de realizar análisis de patrones y tendencias de usuarios y activos. No se trata de una integración nativa, sino una app que ofrece ciertas características de monitorización. Ejemplos de reglas que aporta la app por defecto son: • detección de sesiones SSH persistentes • modificación de conexiones a internet • detección de actividad relacionada con malware • usuario ejecutando un proceso no autorizado • usuario instalando una aplicación no autorizada - Watson: es una aplicación que ayuda a la investigación y análisis de las alertas en Qradar añadiendo información sobre los distintos parámetros de las alertas. Por ejemplo, información sobre las direcciones IP públicas, identificando patrones de eventos con tipologías de ataques, etc. La idea de enriquecer los eventos con esta información es la de ayudar a los analistas a descartar los falsos positivos de las alertas reales, ofreciendo la posibilidad centrar los esfuerzos en lo realmente importante. 1. Arquitecturas
  • 7. Una de las principales ventajas de Qradar es la flexibilidad a la hora de realizar distintas arquitecturas. La existencia de diferentes componentes y el poder configurarlos tanto en modo físico como en virtual ofrecen una gran flexibilidad a los arquitectos. La opción de arquitectura más simple es mediante el uso del componente conocido como AllIn1, que aglutina el event collector, event processor y consola en una misma máquina, permitiendo realizar la recolección, correlación y presentación desde una única máquina. El principal inconveniente es el limitado número de eventos que puede procesar. Arquitecturas más complicadas pueden incluir soluciones para alta disponibilidad y recuperación ante desastres. 2. Licenciamiento El licenciamiento en IBM se realiza contabilizando los mensajes por segundo (MPS), de tal forma que, además de las licencias de software y el mantenimiento, se deben comparar licencias de eventos para la cantidad de eventos que se quieran procesar. Si la solución intenta recibir más eventos de los que tiene licenciados, automáticamente los descartará. 3. Puntos fuertes vs puntos débiles: Puntos fuertes: • Facilidad de instalación. La modularidad de la solución hace que sea sencillo instalar el SIEM en una única máquina y comenzar a recolectar eventos. La consola de acceso es únicamente web. • Gran cantidad de contenido out of the box que permite que, desde el primer momento, resulte fácil acceder a la información por la cantidad de informes y dashboards preconfigurados. • Diseñada para aportar funcionalidades de alta disponibilidad (HA) y recuperación ante desastres (Disaster recovery). • Existencia de un MarketPlace donde los usuarios crean “aplicaciones” de sencilla integración donde se automatiza la interacción con herramientas de terceros. Puntos débiles: • Plataforma monocliente. No está diseñada para ser multitenant. • No todos los campos de los eventos son normalizados en la capa de recolección.
  • 8. • Pobre gestión de incidentes. Qradar es capaz de generar ofensas basadas en casos de uso, pero las gestiones de dichas ofensas se reducen a la notificación y acciones asociadas. Ilustración 4: Logo Splunk, Fuente: Splunk 2. Splunk Nació en 2003 como una herramienta de Big Data cuya principal misión era la recolección de grandes cantidades de datos, su almacenamiento y proveer al usuario de una interfaz rápida e intuitiva de acceso a dicha información. No es una herramienta enfocada a la seguridad y permite realizar tareas complejas de análisis y representación de la información. Tiene una arquitectura muy intuitiva basada en Maestros – esclavos. Los principales componentes de Splunk siguiendo el modelo de capas son: • Capa de recolección: existen dos mecanismos principales para realizar la recolección, uno basado en un agente llamado Universal Forwarder que se puede desplegar en diferentes entornos (Windows, Linux, etc.) para la recolección de eventos (ficheros, WMI, syslog, etc.); y el otro mecanismo es el Heavy Forwarder, que es un componente no intrusivo (se instala en una máquina independiente) que se encarga de recibir los eventos que las tecnologías le envían. • Capa de correlación y almacenamiento: en Splunk no están separadas estas capas y ambas tareas se realizan en un mismo componente llamado Indexer. • Capa de presentación: es el nodo maestro de la solución que sirve como consola centralizada para realizar las búsquedas en los distintos esclavos distribuidos. Contiene el resumen de índices y su ubicación en los distintos indexers y se denomina Search Head. • Elementos de control: dentro de esta categoría estaría el Master Cluster, el license Server y el Deployment Server, instancias utilizadas en entornos distribuidos para
  • 9. gestionar la replicación entre los distintos cluster de componentes (indexer, Search Head). 1. Arquitecturas Una de las principales ventajas que tiene Splunk es que no es necesario licenciar el número de sistemas que componen la arquitectura. Por lo tanto, diseñar arquitectura pensando en tenerlas HA (High Availability) /HP (High Performance) no implica un coste mayor de licenciamiento. De manera adicional, Splunk es un software por lo que es posible instalarlo en servidores reciclados, siempre que cubran los requerimientos necesarios, por lo que es conocido por usar el concepto de “commodity hardware” El despliegue más simple es un servidor con todos los componentes, “Allin1” o generar una arquitectura distribuida, con o sin HA. 2. Licenciamiento El licenciamiento de Splunk está basado en la ingesta diaria de logs en los indexadores, al contrario que otros SIEM que licencian por EPS, en Splunk si el dato es indexado, es cuantificado para la licencia. Actualmente existe dos tipos de licenciamiento: • Suscripción: Se trata de licencias que se pagan normalmente con una periodicidad anual, pero es posible contratar periodicidades más pequeñas. • Perpetua: Se paga una cantidad inicial y luego solo se paga soporte anual, que es aproximadamente el 20% del coste inicial. Existen otras variantes que afecta al licenciamiento, como son el módulo de UBA y la aplicación Splunk Enterprise Security. 3. Puntos fuertes vs puntos débiles: Puntos fuertes: • Búsquedas. Es, con diferencia, el mejor motor de búsquedas tanto en términos de eficiencia como a nivel de flexibilidad. • Completamente personalizable: la gran variedad de aplicaciones desarrolladas por la comunidad de usuarios, como la facilidad de creación de aplicaciones propias
  • 10. hace que las instancias de Splunk de una empresa a otra no tengan nada que ver entre ellas. • Interfaz de acceso muy clara e intuitiva. • La falta de normalización hace que la recolección se realice de forma más ágil. • La modularidad de la solución hace que sea fácilmente escalable. Puntos débiles: • No es una herramienta SIEM al uso. Se trata más bien de una herramienta de big data en la que toda la inteligencia se tiene que aplicar por parte del usuario (aunque existen múltiples aplicaciones ya desarrolladas) • La correlación no es tan flexible como en otras herramientas. • La compresión de los eventos recibidos no es tan eficiente como en otras soluciones. Ilustración 5: Logo ArcSight, Fuente: ArcSight 3. MicroFocus ArcSight ArcSight es una empresa de seguridad fundada en el 2000. Está diseñado para identificar y priorizar las amenazas de seguridad, organizar y realizar un seguimiento de las actividades de respuesta a incidentes y simplificar las actividades de auditoría y cumplimiento. Mayo de 2013 marcó el décimo año consecutivo en que el Cuadrante Mágico de Gartner para SIEM calificó a ArcSight en el cuadrante del líder. Se convirtió en una subsidiaria de Hewlett-Packard en 2010. En 2017, HP vende la tecnología a Micro Focus, que es quien se encarga en la actualidad de la distribución y el soporte del producto. Los principales componentes de ArcSight siguiendo el modelo de capas son: 1. Capa de recolección: está basada en agentes llamados Connectors que se encargan de recibir/leer los eventos de distintas tecnologías. Al recibir los eventos, estos son normalizados permitiendo realizar distintas tareas sobre ellos como el filtrado, agregación, categorización y normalización. ArcSight provee soporte nativo para más de 300 tecnologías distintas mediante los conectores llamados
  • 11. SmartConnectors y ofrece un framework de desarrollo de conectores para las tecnologías que no son soportadas de forma nativa por el fabricante llamado FlexConnector. 2. Capa de correlación y presentación: es el componente principal del SIEM, llamado ESM (Enterprise Security Manager), que se encarga de la correlación de eventos y el acceso a ellos. 3. Capa de almacenamiento: el almacenamiento principal de eventos se realiza en el ESM, pero existe otro componente llamado Logger que permite un almacenamiento de larga duración más óptimo y de fácil acceso mediante una interfaz web con potentes capacidades de búsqueda y presentación de la información. Otros componentes de la solución: 1. ArcMC: componente de gestión centralizada de los conectores que permite una administración centralizada de ellos. 2. Activate Framework: componente creado para compartir y distribuir reglas de correlación de forma centralizada. 1. Arquitecturas ArcSight no posee la misma flexibilidad en cuanto a arquitectura. La capa de recolección puede ser todo lo distribuida que se requiera, pero la correlación/presentación se debe realizar centralizada. Tiene capacidades de configuración en alta disponibilidad con unos requerimientos de recursos hardware muy elevados. 2. Licenciamiento El licenciamiento en ArcSight se realiza contando los gigabytes al día recibidos (GB/day), de tal forma que, además de las licencias de software y el mantenimiento, se deben comprar licencias para la cantidad de gigabytes que se quieran procesar. Si la solución intenta recibir más eventos de los que tiene licenciados, ArcSight permite pasarse hasta en 5 ocasiones en 30 días sin perder funcionalidades. Si se superan en más de 5 ocasiones, se limita el acceso a distintas funcionalidades de la solución.
  • 12. 3. Puntos fuertes vs. puntos débiles: Puntos fuertes: • Amplia cobertura tecnológica de forma nativa. • Separación lógica entre la capa de correlación y la capa de almacenamiento. • Normalización, agregación y filtrado antes en capa de recolección. • Plataforma multicliente de manera nativa. • Pattern discovery: herramienta de detección de amenazas que, en base a búsquedas predefinidas, permite la detección de patrones de comportamiento. Puntos débiles: • Herramienta compleja de implantar y administrar. • Elevado coste de licenciamiento. • Pobre capacidad de presentación de informes y cuadros de mandos. • Existe la posibilidad de alta disponibilidad con altos requisitos tanto de máquina como de comunicaciones. 4. Otros fabricantes Ilustración 6: Logo McAfee (Intel Security), Fuente: McAfee (Intel Security) 1. McAfee ESM McAfee en 2011 compró Nitro Security para entrar en el espacio SIEM y, posteriormente, se hizo cargo de Intel. Este período de 2011, de hecho, vio algunas cosas suceder en el espacio de mercado de SIEM. Esto incluye HP comprando ArcSight, IBM comprando QRadar y McAfee comprando Nitro, etc. Cada uno de esos productos SIEM ha tomado una ruta diferente en los últimos 3 años. La seguridad de Nitro era uno de esos actores de nicho en el mercado que tenía una cartera de IPS y una cartera de SIEM, cuyos restos aún permanecen en el conjunto de productos de McAfee ESM.
  • 13. Los principales componentes de McAfee ESM siguiendo el modelo de capas son: 1. Capa de recolección: llamada Receivers es la encargada de recolectar los eventos de las distintas fuentes. 2. Capa de correlación: recibe el nombre de ACE por sus siglas en inglés Advance Correlation Engine. 3. Capa de almacenamiento: denominado ELM, de Enterprise Log Management. 4. Capa de presentación: Denominado ESM, es el punto central de la solución que realiza las tareas de orquestación de los distintos componentes. 4.1 Puntos fuertes vs. puntos débiles: Puntos fuertes: • El gran modularidad de la solución hace que sea sencillo y escalable el diseño de arquitecturas, así como su implementación. • La rapidez de la solución en términos de búsquedas y generación de informes. Al hacer uso de una base de datos no relacional propietaria (NitroEDB) permite que el procesamiento de datos se realice en memoria, agilizando las búsquedas y permitiendo una ingesta de datos muy elevada. • La generación e integración de eventos de monitorización de bases de datos y aplicaciones mediante las herramientas dedicadas. • Posibilidad de realizar correlación histórica, sobre eventos del pasado. • Buena integración con protocolos SCADA. Puntos débiles: • Debido a la existencia de tantos “módulos” uno de los principales problemas es la estabilidad de la plataforma y la cantidad de ancho de banda consumida entre los distintos módulos. • La correlación es más limitada que en otros productos. • La integración de fuentes no soportada de manera nativa no es sencilla debido a que no existe un framework de desarrollo. • La interfaz de usuario, aunque de acceso web no es todo lo intuitiva que podría ser (muy parecida a ePO o NSM).
  • 14. Ilustración 6: Logo LogRhythm, Fuente:LogRhythm 2. LogRhythm Compañía fundada en 2003 en USA que ofrece una solución SIEM orientada a la detección y rápida respuesta ante incidentes. Los distintos elementos que componen la solución de SIEM son: Event Manager (EM): componente de administración centralizada y consola central de administración/explotación. Log Manager (LM): se divide en dos componentes, Data Procesors (DP) y Data Indexer, donde se realiza la recolección e indexación de eventos (capa de recolección y capa de almacenamiento). AI Engine (AIE): componente donde se realiza la correlación de eventos (capa de correlación) Network Monitor: componente donde se centraliza la recolección de flujos. 1. Puntos fuertes vs Puntos débiles Puntos fuertes: • Combina las funcionalidades de SIEM con las de monitorización de sistemas finales. • Integra de forma nativa soluciones de UEBA (user and entity behaviour analytics) y gestión de incidentes. • Incorpora capacidades de respuesta automatizada frente a incidentes y permite la ejecución de acciones en sistemas remotos • Proporciona una experiencia de usuario altamente interactiva y personalizable, con flujos de trabajo de integración de contexto dinámico y monitoreo de seguridad. Puntos débiles: • Solución cara de desplegar debido al elevado número de indexadores que se necesitan para procesar grandes cantidades de eventos (+10,000 eps). • Tecnología muy completa pero menos extendida que el resto de fabricantes, posiblemente al no tener una gran compañía por detrás que la respalde.
  • 15. Resumen En esta última unidad del curso hemos profundizado en las distintas tecnologías disponibles en el mercado, entrando en detalle en cómo afrontan cada una de ellas las distintas arquitecturas y capas explicadas en detalle durante el curso. Hemos tratado, además, los puntos fuertes y débiles de cada una de las soluciones y terminado la lección con una comparativa entre los productos que, históricamente, se han mostrado como los productos más sólidos y ampliamente reconocidos en el mercado. Para delimitar el alcance de los fabricantes, hemos hecho uso de los informes que publican anualmente distintas consultoras independientes en los que analizan las distintas tecnologías y las clasifican de acuerdo a distintos criterios. Los informes de referencia que utilizaremos serán el cuadrante mágico de Gartner y el informe de Forrester. Glosario • Informe Forrester: informes elaborados por la empresa independiente de investigación de mercados, Forrester Research, que se han convertido en una consulta casi obligada por las empresas cuando se plantean la necesidad de incorporar tecnologías como DLPs, WAFs, Antivirus, etc, en sus empresas. • Informe Gartner: cuadrantes mágicos elaborados por la empresa consultora Gartner Inc. que se publican anualmente y son referencia y un gran apoyo para las empresas a la hora de tomar decisión sobre diferentes productos. Bibliografía Forrester: https://go.forrester.com/ Gartner: https://www.gartner.com/smarterwithgartner/