SIEM - Monitorización efectiva

¿Qué son los sistemas SIEM y para que sirven?

Creo que lo podemos explicar con tan solo una imagen:

¿Qué pasa cuando cada uno de los componentes HW y SF de tu ecosistema generan logs de forma constante? Lo normal seria mantener un control absoluto sobre tu entorno ¿verdad? Pues no, esta característica causa justo lo contrario. Es tal la cantidad de información que se genera que es imposible de analizar y monitorizar de forma que no sea reactiva. 

Cuando una hora de logs son como cuatro Quijotes 

¿Y qué pasa cuando solo puedes actuar de forma reactiva? Que pierdes la capacidad de anticipar un problema o de pararlo antes de que ocurra el desastre. 

Un sistema SIEM (Security Information and Event Management) no es otra cosa que un sistema de monitorización centralizado que es capaz de recolectar, compilar y analizar los millones de logs que generan todas las herramientas de HW y SF que tenemos en nuestro ecosistema. Pasamos de un sistema reactivo a un sistema proactivo, dónde el SIEM nos ayuda no solo a compilar y resumir dónde debemos prestar atención, sino que además puede descubrir patrones que evidencien una situación de riesgo para la integridad de tu red.

Tener un entorno controlado es importante, más cuando los entornos híbridos en la nube nos hacen perder cierta parte de la foto. Si queremos mantener un control efectivo sobre nuestra red, debemos dejar de confiar en la suerte y organizar unas buenas políticas de monitorización con las que poder adelantarnos a los problemas y dar una respuesta lo más quirúrgica y rápida posible.  

Como siempre esto es solo una píldora de información, y para los que no les gusta leer mucho adjunto mi infografía al respecto.