SIEM

Concepto General de SIEM

• SIEM (Security Information and Event Management) integra capacidades de SIM y SEM en una única plataforma.
• Proporciona visibilidad centralizada, correlación avanzada, detección de amenazas y soporte a la respuesta a incidentes.
• Es un componente clave dentro de arquitecturas de monitoreo, hardening, SOC, MDR y estrategias de seguridad defensiva modernas.

Entorno SIM y SEM

• SIM (Security Information Management)
  • Enfocado en la gestión histórica y analítica de la información de seguridad.
  • Almacenamiento a largo plazo de logs.
  • Soporte para auditorías, compliance y análisis forense.
  • Relacionado con:
    • gestión de informacion de seguridad
    • recoleccion de datos y analisis
• SEM (Security Event Management)
  • Enfocado en eventos en tiempo (casi) real.
  • Correlación inmediata y generación de alertas.
  • Automatización de respuestas iniciales.
  • Relacionado con:
    • gestion de eventos de seguridad
    • deteccion de amenaza y respuesta

Funciones Clave de un SIEM

• Monitoring y logging
  • Centralización de logs de sistemas corporativos, red y aplicaciones.
  • Normalización y enriquecimiento de eventos.
• Recolección de datos y análisis
  • Ingesta desde múltiples fuentes:
    • endpoints
    • firewalls
    • proxies
    • sistemas IAM Gestión de Identidades y Acceso
    • entornos cloud
• Correlación de eventos
  • Reglas basadas en firmas.
  • Correlación temporal y contextual.
  • Reducción de falsos positivos.
• Alertas
  • Alertas basadas en severidad, contexto y riesgo.
  • Escalado automático a SOC o plataformas SOAR.
• Detección de amenaza y respuesta
  • Identificación de ataques conocidos y desconocidos.
  • Integración con playbooks de respuesta.

UEBA (User and Entity Behavior Analytics)

• Análisis de comportamiento de usuarios y entidades.
• Modelos de comportamiento base (baseline).
• Detección de anomalías:
  • accesos atípicos
  • movimientos laterales
  • abuso de privilegios
• Uso intensivo de:
  • Big Data
  • Data Science
• Complementa la detección basada en reglas tradicionales.

Infraestructura y Arquitectura

• Infraestructura
  • On-premise, cloud o híbrida.
  • Escalabilidad horizontal para grandes volúmenes de datos.
• Plataformas comunes
  • OpenSearch
  • Elastic (Elastic Stack / Elasticsearch)
  • Soluciones comerciales y open-source.
• Sistemas corporativos
  • Integración con:
    • Active Directory
    • ERP / CRM
    • Bases de datos
    • Aplicaciones críticas de negocio

Métricas y KPIs de Seguridad

• MTTD (Mean Time To Detect)
  • Tiempo medio desde que ocurre una amenaza hasta su detección.
• MTTR (Mean Time To Response)
  • Tiempo medio desde la detección hasta la contención/respuesta.
• Tiempos
  • Indicadores clave para medir la madurez del SOC.
  • Directamente influenciados por:
    • calidad de reglas
    • automatización
    • capacidad analítica del SIEM

Estándares TIC y Cumplimiento

• Soporte para normativas y marcos:
  • ISO/IEC 27001
  • NIST
  • ENS
  • GDPR
• Facilita:
  • reporting automatizado
  • trazabilidad
  • evidencias de auditoría

Relación con Otras Disciplinas

• cloud
  • Integración con logs nativos de proveedores cloud.
  • Seguridad en entornos dinámicos y elásticos.
• Big Data
  • Procesamiento masivo de eventos.
  • Análisis a gran escala.
• Data Science
  • Modelos predictivos.
  • Detección avanzada de amenazas.
• monitoreo
  • Base operativa del SIEM.
• hardening
  • Retroalimentación para mejora continua de la postura de seguridad.

Recursos

• [¿Qué es SIEM?

  Seguridad de Microsoft](https://www.microsoft.com/es-es/security/business/security-101/what-is-siem#:~:text=Preguntas%20m%C3%A1s%20frecuentes-,Definici%C3%B3n%20de%20SIEM,a%20las%20operaciones%20del%20negocio.)

SIEM — Conceptos Avanzados y Temas Complementarios

SIEM vs SOAR

• SOAR (Security Orchestration, Automation and Response) complementa al SIEM.
• Diferencias clave:
  • SIEM: detección, correlación y visibilidad.
  • SOAR: orquestación, automatización y respuesta.
• Integración típica:
  • Alertas del SIEM disparan playbooks automáticos.
  • Reducción directa de MTTR.
• Casos comunes:
  • aislamiento de endpoints
  • bloqueo de IPs o cuentas
  • enriquecimiento automático de incidentes

Threat Intelligence (CTI) Integrada

• Uso de inteligencia de amenazas interna y externa.
• Tipos de CTI:
  • estratégica
  • táctica
  • operacional
  • técnica (IOCs)
• Fuentes:
  • feeds comerciales
  • open-source
  • inteligencia propia del SOC
• Beneficios:
  • priorización de alertas
  • contexto adicional
  • detección proactiva

Ingeniería de Detección (Detection Engineering)

• Diseño y mantenimiento de reglas de detección.
• Enfoque basado en:
  • MITRE ATT&CK
  • hipótesis de ataque
• Ciclo de vida:
  • diseño
  • prueba
  • despliegue
  • tuning
  • retirada
• Importancia:
  • evita dependencia exclusiva de firmas
  • mejora detección de amenazas avanzadas

Casos de Uso de Seguridad

• Definición clara de use cases como núcleo del SIEM.
• Ejemplos:
  • detección de ransomware
  • abuso de credenciales
  • exfiltración de datos
  • persistencia y movimiento lateral
• Clasificación:
  • preventivos
  • detectivos
  • de cumplimiento
• Relación directa con la madurez del SOC.

Gestión del Ruido y Tuning

• Reducción de falsos positivos.
• Técnicas:
  • umbrales dinámicos
  • exclusiones controladas
  • listas blancas contextuales
• Impacto:
  • mejora de MTTD real
  • reducción de fatiga de analistas
• Proceso continuo, no puntual.

Pipeline de Logs

• Flujo típico:
  • generación
  • recolección
  • parsing
  • normalización
  • enriquecimiento
  • almacenamiento
  • análisis
• Componentes críticos:
  • agentes
  • collectors
  • parsers
  • índices
• Riesgos comunes:
  • pérdida de logs
  • parsing incorrecto
  • retrasos en ingestión

Parsing y Normalización

• Conversión de logs heterogéneos a un esquema común.
• Beneficios:
  • correlación efectiva
  • búsquedas eficientes
  • reglas reutilizables
• Retos:
  • logs propietarios
  • cambios en formatos
  • versiones de software

Almacenamiento y Retención

• Estrategias de retención:
  • caliente
  • templado
  • frío
• Factores clave:
  • requisitos legales
  • coste
  • rendimiento
• Compromiso entre:
  • profundidad histórica
  • capacidad de búsqueda

Escalabilidad y Costes

• Retos principales:
  • crecimiento exponencial de logs
  • coste por GB ingerido
• Estrategias:
  • filtrado en origen
  • ingestión selectiva
  • archivado inteligente
• Importante en:
  • entornos cloud
  • grandes organizaciones

Privacidad y Protección de Datos

• Manejo de datos sensibles en logs.
• Riesgos:
  • exposición de PII
  • credenciales en texto claro
• Medidas:
  • masking
  • hashing
  • control de accesos
• Relación directa con:
  • GDPR
  • ENS
  • compliance corporativo

Purple Team y SIEM

• Uso del SIEM como herramienta de validación.
• Actividades:
  • simulación de ataques
  • validación de detecciones
  • mejora continua
• Beneficio:
  • detecciones basadas en ataques reales
  • alineación ofensiva–defensiva

Madurez del SIEM

• Niveles típicos:
  • recolección básica de logs
  • alertas simples
  • correlación avanzada
  • UEBA y automatización
  • detección proactiva y predictiva
• Indicadores de madurez:
  • calidad de casos de uso
  • tiempos de respuesta
  • nivel de automatización

Futuro del SIEM

• Evolución hacia:
  • XDR
  • plataformas unificadas
• Tendencias:
  • analítica avanzada
  • IA aplicada a detección
  • reducción de dependencia de reglas estáticas
• SIEM como:
  • núcleo de visibilidad
  • base de la arquitectura defensiva

Recursos y Tools SIEM (2025)

SIEM Comerciales Líderes (2025)

• Splunk Enterprise Security — SIEM empresarial con análisis avanzado, machine learning, correlación en tiempo real y SOAR integrado. Ideal para grandes organizaciones con necesidades complejas.
  • Splunk Enterprise Security
• IBM QRadar — Plataforma robusta de detección de amenazas y análisis de logs con integración de inteligencia de amenazas y reporting de cumplimiento.
  • IBM QRadar SIEM
• Microsoft Sentinel — SIEM nativo cloud con analítica basada en IA, automatización y playbooks SOAR, especialmente adecuado para entornos Azure y Microsoft 365.
  • Microsoft Sentinel
• Exabeam Fusion SIEM — SIEM moderno orientado a comportamiento (UEBA) y automatización para reducir alertas irrelevantes.
  • Exabeam Fusion SIEM
• Fortinet FortiSIEM — SIEM con fuerte integración de red y seguridad, soporte multi-tenancy, ideal para MSPs y grandes empresas.
  • FortiSIEM
• Trellix Helix — Plataforma unificada de SIEM + SOAR + CTI con visibilidad global y workflows automatizados.
  • Trellix Helix
• ManageEngine Log360 — SIEM con enfoque en cumplimiento y auditoría, orientado a SMBs y medianas empresas.
  • ManageEngine Log360
• LogRhythm NextGen SIEM — SIEM empresarial con automatización, análisis avanzado y gestión integral de incidentes.
  • LogRhythm SIEM
• Sumo Logic Cloud SIEM — SIEM SaaS diseñado para entornos cloud-native y arquitecturas modernas.
  • Sumo Logic Cloud SIEM
• Arctic Wolf MDR + SIEM — SIEM gestionado con detección y respuesta administrada 24x7.
  • Arctic Wolf MDR

SIEM Open-Source y Herramientas Relacionadas

• Wazuh — SIEM open source con gestión de logs, HIDS, control de integridad y capacidades EDR/XDR.
  • Wazuh
• Security Onion — Distribución Linux enfocada en detección y monitorización con Suricata, Zeek y Elastic/OpenSearch.
  • Security Onion
• Graylog — Plataforma de logging centralizado con alertas, pipelines y dashboards.
  • Graylog
• OSSEC — HIDS open source orientado a detección de intrusiones en host.
  • OSSEC
• AlienVault OSSIM — SIEM open-source clásico con correlación, IDS y gestión de activos.
  • AlienVault OSSIM
• Elastic Stack (ELK) — Framework de logging y analítica adaptable como SIEM.
  • Elastic Security
• OpenSearch — Plataforma open-source de búsqueda y analítica con capacidades de SIEM.
  • OpenSearch Security Analytics
• Apache Metron — Plataforma de análisis de seguridad basada en Big Data (proyecto en mantenimiento limitado).
  • Apache Metron
• Suricata / Snort3 — IDS/IPS usados como fuentes clave de eventos para SIEM.
  • Suricata
  • Snort
• Zabbix / Nagios — Monitorización de infraestructura que puede alimentar SIEM con eventos operativos.
  • Zabbix
  • Nagios

Herramientas y Recursos Complementarios

• CybersecTools – SIEM category — Directorio de herramientas relacionadas con SIEM y operaciones defensivas.
  • CybersecTools SIEM

Investigación y Desarrollo en SIEM (2025)

• RuleGenie — Optimización automática de reglas SIEM basada en LLMs.
  • RuleGenie (arXiv)
• CyberAlly — Asistente basado en grafos de conocimiento para operaciones Blue Team y SOC.
  • CyberAlly (arXiv)
• SynRAG — Framework LLM para generación de queries multi-SIEM desde una única especificación.
  • SynRAG (arXiv)

Normativas y Catálogos Oficiales (España / UE)

• CCN-CERT – Catálogo ENS (2025)
  • Productos SIEM destacados: LogPoint SIEM, Devo SIEM, BigSIEM.
  • CCN-STIC 105 – Catálogo de Productos

Consideraciones para Elección

• Grandes entornos y alto volumen
  • Splunk, IBM QRadar, Exabeam, LogRhythm
• Cloud-native y SaaS
  • Microsoft Sentinel, Sumo Logic, Elastic/OpenSearch
• SMBs o bajo presupuesto
  • Wazuh, Security Onion, Graylog, ManageEngine Log360
• Open-source
  • Mayor flexibilidad y control
  • Mayor esfuerzo en despliegue, tuning y operación

    Recursos Open-Source SIEM en GitHub (2025)

Proyectos SIEM Open-Source en GitHub

• LogESP — SIEM construido en Python/Django con frontend web para gestión y análisis de logs.
  • dogoncouch/LogESP
• OSSIEM — Stack SIEM open-source para pruebas y laboratorio orientado a Wazuh y componentes modulares.
  • dLoProdz/OSSIEM
• LibreSIEM — SIEM moderno, ligero y modular con monitorización en tiempo real y dashboard intuitivo.
  • sd3v/libreSIEM
• UTMStack — Plataforma unificada de seguridad que combina SIEM y XDR con correlación de logs y respuesta.
  • utmstack/UTMStack
• SIEM-Dashboard — Dashboard full-stack para visualizar y analizar eventos de seguridad y logs en tiempo real.
  • Tengen-12/SIEM-Dashboard

Repositorios Relacionados con SOC y SIEM

• SOC-OpenSource — Proyecto para explorar arquitecturas modernas de SOC con componentes open-source.
  • BlackPerl-DFIR/SOC-OpenSource
• AI_SOC (AI-Augmented SOC) — Implementación de SOC mejorado con IA para detección y automatización, integrando aspectos SIEM.
  • zhadyz/AI_SOC
• SOC and SIEM — Repositorio que agrupa herramientas de detección, monitorización y SIEM como parte de un entorno SOC.
  • anurag708989/SOC-and-SIEM

Repositorios de Guías y Arquitecturas

• Awesome SIEM — Curación de soluciones, recursos y arquitectura de visibilidad y eventos (lista de proyectos SIEM).
  • cybersader/awesome-siem
• Cybersecurity SIEM Resources — Colección de frameworks, tutoriales y recursos educativos sobre SIEM.
  • paulveillard/cybersecurity-SIEM

    Proyectos Complementarios Útiles para SIEM

    Aunque no son SIEM completos, pueden integrarse o utilizarse en pipelines de análisis y correlación de eventos:

• Wazuh — Plataforma open-source de XDR/SIEM para prevención, detección, respuesta y análisis de eventos.
  • wazuh/wazuh
• AlienVault OSSIM — SIEM clásico open-source para correlación, normalización y alerta de eventos.
  • sakkiii/alienvault-ossim

Repositorios / Temas Relacionados con Monitoreo y Logs

Detalles, guías y herramientas que pueden alimentar el SIEM con métricas, logs o análisis:

• Prometheus — Sistema de monitorización y alerta de métricas que puede complementar flujos de seguridad.
  • prometheus/prometheus

Notas

• Muchos de estos proyectos son ideales para laboratorios, aprendizaje y SIEM modulares, pero pueden requerir integración adicional para cubrir casos de uso completos de producción.
• Puedes combinar herramientas como Wazuh, Elastic/OpenSearch, Suricata o Zeek en un stack SIEM completo con pipelines y dashboards según tus necesidades.

Guía de Implementación SIEM (2025)

1. Planificación y Alcance

• Definir objetivos y alcance del SIEM
  • Seguridad operacional
  • Cumplimiento normativo (GDPR, ENS, ISO 27001)
  • Monitoreo de infraestructura crítica
• Identificar sistemas y fuentes de datos
  • Endpoints y servidores
  • Firewalls, routers y switches
  • Aplicaciones críticas
  • Servicios cloud (Azure, AWS, GCP)
• Evaluar recursos
  • Analistas SOC
  • Infraestructura (on-premise / cloud)
  • Presupuesto y licencias

2. Selección de la Plataforma SIEM

• Opciones comerciales
  • Splunk, IBM QRadar, Microsoft Sentinel, Exabeam, FortiSIEM
• Opciones open-source
  • Wazuh, Security Onion, ELK Stack, OpenSearch, OSSIM
• Criterios de selección
  • Escalabilidad y rendimiento
  • Integración con sistemas existentes
  • Soporte de UEBA y automatización
  • Capacidades de alerta y correlación
  • Coste total de propiedad

3. Arquitectura y Diseño

• Definir arquitectura de ingestión
  • Agentes de logs
  • Collectors y forwarders
  • Normalización y parsing
• Almacenamiento y retención
  • Hot, Warm, Cold tiers
  • Requisitos legales y normativos
• Diseño de correlación y alertas
  • Reglas basadas en amenazas conocidas
  • Modelos de UEBA
  • Playbooks de respuesta automatizados

4. Implementación y Configuración

• Despliegue de agentes y recolección de datos
  • Endpoints, servidores, redes y aplicaciones
  • Logs de cloud
• Configuración de pipelines
  • Parsing, normalización y enriquecimiento
  • Enriquecimiento con Threat Intelligence (CTI)
• Integración con SOAR (si aplica)
  • Automatización de alertas
  • Playbooks de contención y mitigación
• Configuración de dashboards y reportes
  • Visualización por criticidad, tipo de evento y KPIs

5. Desarrollo de Casos de Uso

• Definir casos de uso críticos
  • Acceso no autorizado y abuso de privilegios
  • Movimientos laterales y persistencia
  • Ransomware y exfiltración de datos
  • Fallos de compliance y auditoría
• Priorizar alertas
  • Basadas en riesgo, impacto y frecuencia
• Implementación iterativa
  • Revisar y mejorar reglas continuamente
  • Ajustar umbrales y listas blancas

6. Pruebas y Validación

• Validar ingestión de logs
  • Comprobación de integridad y consistencia
• Simulación de ataques
  • Purple Team / Red Team exercises
• Evaluar alertas y tiempos
  • MTTD y MTTR
  • Ajuste de reglas para reducción de falsos positivos

7. Operación y Mantenimiento

• Monitoreo diario
  • Revisión de dashboards y alertas críticas
  • Priorización de incidentes
• Tuning continuo
  • Optimización de reglas
  • Eliminación de alertas irrelevantes
• Actualización de Threat Intelligence
  • Feeds internos y externos
  • Integración con CTI
• Revisión periódica
  • Auditorías de cumplimiento
  • Evaluación de KPIs
  • Mejoras de arquitectura y escalabilidad

8. Capacitación y Cultura SOC

• Entrenamiento de analistas
  • Uso de dashboards y herramientas SIEM
  • Procedimientos de respuesta y escalado
• Documentación de procedimientos
  • Playbooks de respuesta
  • Manuales de operación
• Simulaciones periódicas
  • Tabletop exercises
  • Incident response drills

9. Integración con otras herramientas

• SOAR
  • Automatización de respuesta
  • Enriquecimiento de alertas
• EDR / XDR
  • Correlación de endpoints
  • Mitigación automática de amenazas
• UEBA
  • Detección de anomalías avanzadas
  • Comportamiento de usuarios y entidades
• Threat Intelligence
  • Enriquecimiento de eventos
  • Priorización de incidentes

10. Métricas y KPIs

• MTTD (Mean Time To Detect)
• MTTR (Mean Time To Respond)
• Número de alertas por tipo
• Número de falsos positivos vs reales
• Cumplimiento de SLAs de seguridad

Recursos Adicionales

• Microsoft Sentinel
• Splunk Enterprise Security
• Wazuh
• Security Onion
• OpenSearch Security Analytics