¿Por qué es importante implementar un SIEM? La labor del personal de seguridad de TI se centra en la revisión constante de sus plataformas tecnológicas con el fin de encontrar evidencias de algo anormal en sus revisiones diarias. Esta tarea aunque pareciere un labor dispendiosa, en resumen lo es por su alto grado de responsabilidad y su impacto en los activos informáticos.
Generalmente cada sofware, aplicación, sistemas operativos o cualquier dispositivo de red genera eventos tipo log que registran los comportamientos relevantes para un sistema en particular dejando huellas de registro de fecha, hora, algunas veces usuario y direccionamiento IP. Estos eventos en un solo servidor pueden ser hasta de 350.000 eventos por hora, y su período de retención es de 24 horas por defecto, lo cual hace que un evento importante pueda desaparecer al siguiente día, no dejando rastro para una investigación o auditoría de seguridad posterior.
¿Qué debemos monitorear?
Si la pregunta le parece contradictoria, pues de seguro estas pensando que debemos monitorear todos los eventos, en la realidad de un administrador o auditor de registros informáticos está la simplificación de los eventos de seguridad más relevantes que puedan darle información en tiempo real de un posible ataque externo, y no menos importante un ataque interno también.
A manera de ejemplo, en un servidor windows Active Directory con implementación de auditoria (El rol de Active Directory por defecto no tiene este servicio activado) genera los eventos de seguridad a nivel de objetos del AD, dejando huella de cualquier cambio realizado de usuarios del Active Directory.
En estos eventos, podemos encontrar en el log registros de windows, eventos de seguridad como:
EventID: 4778 Inicio de sesión
EventID: 4720 Una cuenta fue creada
EventID: 4726 Una cuenta fue eliminada
Y otra gran cantidad de eventos no solo de seguridad, también de aplicación, de sistema y de instalación. Por la gran cantidad de eventos generados en estos cuatro parametros y en un solo servidor tendremos todo un día para analizar la información que estos generan. Normalmente cuando un incidente de seguridad ocurre recurrimos a esta información, que en algunos casos ya no está disponible por sus configuraciones que vienen por defecto y que desaparecen al día siguiente como mencioné anteriormente.
Dicho esto y para contestar la pregunta después de aclarar el posible escenario, los administradores de seguridad deben reducir la gran cantidad de eventos generados a una lista limitada que consideren importante. Un ejemplo de esto es el listado de eventos de seguridad de windows que puedes conseguir en este enlace https://www.microsoft.com/en-us/download/confirmation.aspx?id=50034. En sistemas operativos linux los log de eventos se encuentran en el path: /var/log*
Una vez que hayas definido tu listado de eventos de seguridad lo puedes reducir a revisión en tiempo real con la implementación de un SIEM.
¿Que SIEM implementar?
Existen actualmente en el mercado una gan cantidad de herramientas de monitoreo de eventos, en si el esquema estructural de casi todos es el mismo, la variación son los servicios y por supuesto los costos.
En la realidad el valor o los servicios que ofrece un SIEM para un atacante es lo de menos, el busca las vulnerabilidades de tus sistemas y aplicaciones, asi que una herramienta SIEM debe estar acompañada de otra herramienta: Assesment Vulnerability o gestión de vulnerabilidades.
Identifica estas variables en tu implementación futura, si bien es cierto que el SIEM te da información relevante de los eventos de seguridad más importantes, una gestión de vulnerabilidades te ayuda a blindar tus sistemas y aplicaciones de las posibles amenazas que se pueden materializar en tus activos informáticos.
En la implementación del SIEM debes tener en cuenta algunos parámetros:
Cantidad de log: Si deseas tener todos los log monitoreados, aunque no te culpo, ten en cuenta la cantidad de servidores por la cantidad de eventos que llegarán a tu correlacionador, los recursos pueden ser insuficientes en un determinado tiempo y a futuro tendrás un dolor de cabeza en su administración.
Envío de log via syslog: La mayoría de dispositivos tipo appliance como firewall, switchs, etc, tienen una configuración syslog que te permite enviar los log generados a un syslog generalmente por el puerto udp 514. En un firewall que tiene geolocalización, te permitirá ver que tipos y mecanismo de ataque están utilizando y a que ip o sistema operativo intentan atacar, así como su ubicación geográfica con su direccionamiento IP público.
Filtrado: Mi recomendación es que filtres los log. En las configuraciones de tus dispositivos programa que eventos van al correlacionador y cuales no. Si ya tienes tu listado de los eventos que quieres monitorear, haz una correcta administración de los log de eventos que quieres que lleguen al correlacionador, esto evitará que los recursos se agoten y puedas tener una herramienta óptima.
Backup: Mantén un buen programa de retención documental de los log generados en tu correlacionador, algunos incidentes de seguridad pueden tomar cierto tiempo en su desarrollo investigativo dependiendo de la experticia del analizador y de seguro querrá ver que tipos de eventos similares han tenido en determinado tiempo. Programar un esquema de backup ayudará no solo en estas labores sino en cualquier programa de auditoría.
Panel de monitoreo: Tener una consola de administración donde puedas ver los registros de seguridad por tipo-evento. Por ejemplo quien ingresa a los servidores con sistemas operativos windows o linux, o quien ha cambiado una contraseña de un usuario del Active Directory.
Valor Agregado
Un valor muy importante que te debe brindar el SIEM, es la información en tiempo real de los eventos más importantes que hayas definido en sus parametros de configuración. Un dashboard, un mensaje de alerta vía e-mail o una alerta vía celular son herramientas muy indispensables, debido a que no importa donde estés, si tienes a la mano un dispositivo móvil sabrás en tiempo real lo que sucede en tus plataformas de tecnología, simplificando aún más el tiempo de respuesta a incidentes de seguridad.
Si desea conocer más acerca de una solución SIEM open source, Sevservices le asistirá a su equipo de seguridad para que en conjunto podamos desarrollar un plan de acuerdo a sus necesidades.