Ventajas e implementación de un sistema SIEM

Abstract

En las empresas cada vez hay más sistemas y más complejos, que interactuan entre ellos y en sistemas de terceros, como servicios en la nube, proveedores o clientes. Todos esos sistemas generan logs, que generalmente o no se analizan, o se hace solo una vez a ocurrido algún problema. En ese contexto es donde tiene sentido la utilización de un SIEM (Security Information and Event Management) en las corporaciones, para agrupar los logs y generar alertas de seguridad en tiempo real. En el proyecto se analiza los diferentes productos que hay en el mercado. Para ello se ha puesto en contactos con diferentes fabricantes de productos para hacer una demostración del producto y tener un presupuesto. Una vez echo eso, se implementa una solución en el entorno real de la compañía, cumpliendo las restricciones marcadas por esta. La solución elegida finalmente es Wazuh, que se adaptará a un subconjunto de sistemas de la empresa (Electrónica de red, controladores del dominio windows y servidor SFTP) para realizar una prueba de concepto, para poder ser evaluada por la dirección de IT, si finalmente se implementa o no.

En les empreses cada vegada hi ha més sistemes i més complexos, que interactuan entre ells i en sistemes de tercers, com a serveis en el núvol, proveïdors o clients. Tots aquests sistemes generen logs, que generalment o no s'analitzen, o es fa només una vegada a ocorregut algun problema. En aquest context és on té sentit la utilització d'un SIEM (Security Information and Event Management) en les corporacions, per a agrupar els logs i generar alertes de seguretat en temps real. En el projecte s'analitza els diferents productes que hi ha en el mercat. Per a això s'ha posat en contactes amb diferents fabricants de productes per a fer una demostració del producte i tenir un pressupost. Una vegada tiro això, s'implementa una solució en l'entorn real de la companyia, complint les restriccions marcades per aquesta. La solució triada finalment és Wazuh, que s'adaptarà a un subconjunt de sistemes de l'empresa (Electrònica de xarxa, controladors del domini windows i servidor SFTP) per a realitzar una prova de concepte, per a poder ser avaluada per l'adreça de IT, si finalment s'implementa o no.

In companies there are more and more complex systems that interact between them and in third party systems, such as cloud services, suppliers or customers. All of these systems generate logs, which are generally either not analysed, or only done once a problem has occurred. In this context is where it makes sense to use a SIEM (Security Information and Event Management) in corporations, to group the logs and generate security alerts in real time. The project analyzes the different products on the market. In order to do this, it has contacted different product manufacturers in order to demonstrate the product and have a budget. Once that is done, a solution is implemented in the real environment of the company, complying with the restrictions set by the company. The solution finally chosen is Wazuh, which will be adapted to a subset of the company's systems (network devices, Windows domain controllers and SFTP server) to perform a proof of concept, to be evaluated by the IT management, whether it is finally implemented or not.