- Autor
Christian Espinoza
christian.espinoza@eigocorp.com
Introducción.
La Administración de Información de Eventos y Seguridad, o SIEM por sus siglas en inglés (Security Information Event Management), es un término acuñado por la firma Gartner a partir del año 2005 para referirse a las tecnologías que soportan la detección de amenazas, y la administración de cumplimiento e incidentes de seguridad por medio de la recolección y análisis de eventos de seguridad, así como una gran variedad de eventos en el contexto de las fuentes de datos.
Las tecnologías SIEM agrupan los datos de eventos generados por dispositivos de seguridad, infraestructuras de red, sistemas hosts, endpoints, aplicaciones y servicios en la nube, en principio a partir de datos de los registros de eventos como fuente primaria, pero las tecnologías SIEM también pueden procesar otras fuentes tales como los datos generados por herramientas de telemetría de redes, por ejemplo.
El principio subyacente de un sistema SIEM es que los datos relevantes sobre la seguridad de una empresa se producen en múltiples ubicaciones, y al ser capaces de ver todos los datos desde un único punto de vista, es más fácil detectar tendencias y ver patrones fuera de lo común.
Los datos de estos eventos se combinan con información contextual de usuarios, activos, amenazas y vulnerabilidades. Todo se normaliza de manera tal que los eventos, datos e información a partir de diferentes fuentes puedan ser analizados con propósitos específicos, tal como el monitoreo de eventos de seguridad de redes, el monitoreo de la actividad de los usuarios o para la generación de reportes de cumplimiento.
Estas tecnologías generalmente proporcionan análisis en tiempo real de eventos para el monitoreo de la seguridad, consultas y analítica de amplio rango para análisis histórico, así como funcionalidades de reporteo y soporte para el cumplimiento y la administración e investigación de incidentes.
¿Cómo sé si necesito un SIEM?
Los líderes de seguridad de la información se enfrentan a una creciente complejidad, diversas superficies de ataque, alertas que crecen por órdenes de magnitud, así como ataques cibernéticos cada vez más sofisticados y difíciles de detectar - incluidas las amenazas internas - todo en el contexto del crecimiento exponencial del volumen de datos. Al mismo tiempo, necesitan encontrar maneras de hacer que los sistemas y procesos sean más eficientes, controlar los costos y administrar los recursos.
Estas son algunas de las razones por las que los sistemas SIEM han crecido en importancia para aquellas organizaciones que buscan mejorar su postura de seguridad. Si necesita o no un sistema SIEM, dependerá de muchos factores, comenzando por los requerimientos de seguridad y cumplimiento de su organización, así como de la localización donde residen sus datos.
Microsoft 365 incluye una gran variedad de características de seguridad y cumplimiento que satisfacen muchos de los requerimientos de las organizaciones en este aspecto, sin la necesidad de implementar un sistema SIEM, aunque, bajo ciertas circunstancias, la utilización de estas herramientas podría estar justificada, comenzando principalmente por el origen de los datos recopilados y analizados.
Por ejemplo, una organización con una plataforma tecnológica híbrida podría inclinarse por la implementación de herramientas SIEM en el caso que requiera generar reportes de seguridad que abarquen contenido y aplicaciones distribuidos entre los centros de datos de sus instalaciones físicas y la Nube de Azure.
Otro escenario común son organizaciones que manejen datos sensibles de clientes, tales como empresas de servicios financieros, que implementan herramientas SIEM para centralizar múltiples fuentes de datos de eventos y satisfacer estrictos requerimientos de seguridad y cumplimiento.
El mercado de las herramientas SIEM estará definido entonces por las necesidades de los cliente para centralizar y analizar diversas fuentes de datos de eventos de seguridad en tiempo real, lo que en turno soporta la detección temprana de ataques y brechas de seguridad, así como el análisis de datos de eventos históricos que contribuyan a la detección y mitigación temprana de desviaciones potenciales.
Las herramientas SIEM proporcionan un lugar centralizado para recolectar eventos y alertas, pero pueden ser costosos, requerir de infraestructuras y recursos intensivos, y en su mayoría la interpretación de los datos analizados para la implementación de acciones de remediación o mitigación puede no ser tan amigable.
Así, dependiendo de sus características y de cómo se implemente, un sistema SIEM puede contribuir a robustecer la postura de seguridad y cumplimiento de una organización, o dar pie a crear más bien una enorme carga administrativa adicional, generando un volumen de datos en constante crecimiento que tensa los límites de los sistemas locales y una sobrecarga como producto de la fatiga de alertas y falsos positivos.
Servicio Microsoft Azure Sentinel.
Azure Sentinel es la oferta Cloud de Microsoft como Sistema de Administración y Eventos de Seguridad o SIEM que además incluye características de Respuesta Automatizada de Orquestación de Seguridad (SOAR), que permiten definir análisis de incidentes y procedimientos de respuesta en formatos de flujos digitales.
Azure Sentinel se fundamenta en el amplio rango de servicios existentes de Azure, tales como el Security Center, Log Analytics y Logic Apps, así como en el Aprendizaje de Máquina (Machine Learning) e Inteligencia Artificial (AI) para identificar, detectar y bloquear amenazas casi de manera instantánea, brindando a los analistas de seguridad la capacidad de descentralizar tareas, separar la señal del ruido, y así dar prioridad a las tareas más críticas. Azure Sentinel está diseñado para satisfacer los cuatro aspectos de las operaciones de seguridad:
- Recopilar datos escala de la nube, de usuarios, dispositivo, aplicaciones e infraestructura, locales a los Centros de Datos de las instalaciones físicas de Cliente y extensibles a una o más plataformas de servicio en la nube.
- Detección de amenazas, en tiempo real, minimizando falsos positivos mediante el análisis de amenazas basado en Aprendizaje de Máquina e Inteligencia Artificial.
- Investigación de amenazas, una vez más haciendo uso del Aprendizaje de Máquina e Inteligencia Artificial para identificar actividades sospechosas de forma proactiva.
- Respuesta rápida a los incidentes con las características SOAR de orquestación integrada y automatización de tareas comunes.
Acceso a Azure Sentinel.
Como servicio integrado en la plataforma Azure, ya adelantamos que Azure Sentinel contribuye a enriquecer servicios como Azure Security Center, potenciando sus capacidades al explotar las características de Aprendizaje de Máquina e Inteligencia Artificial, de tal manera que al igual que estos servicios, Azure Sentinel está disponible y es administrado a través del Portal de Azure.
Prerrequisitos.
Existen algunos prerrequisitos que se deben cumplir para poder aprovechar al máximo las funcionalidades de Azure Sentinel:
- Previamente se debe haber creado un Espacio de Trabajo de Log Analytics.
- Permisos de Colaborador en la suscripción que reside el Espacio de Trabajo de Log Analytics.
- Permisos de Colaborador o de Lectura en el Grupo de Recursos al cual pertenece el Espacio de Trabajo de Log Analytics.
- Es posible que se necesiten permisos adicionales de acuerdo a las fuentes de datos que se integrarán en el Espacio de Trabajo de Log Analytics.
Alta de Servicio Azure Sentinel.
Darse de alta en el Servicio de Azure Sentinel es un procedimiento simple y común, como todos los Servicios de Azure. A continuación se muestran los pasos y consideraciones para activar el servicio:
1.- En el Portal de Azure, seleccionar All Services.
2.- Una vez allí, ubicar el servicio Azure Sentinel, introduciendo su nombre en el cuadro de búsqueda.
3.- A continuación, luego de haber seleccionado el Servicio Azure Sentinel, se nos presentará el cuadro de Espacio de Trabajo de Azure Sentinel. En este paso, previamente debimos haber creado un Espacio de Trabajo de Log Analytics, que es donde se centralizará toda la información recolectada a partir de los orígenes de datos que se conectarán.
4.- La siguiente acción es seleccionar de la lista de opciones, el Espacio de Trabajo de Log Analytics. Para este ejemplo, tenemos uno predefinido que se denomina LogAnalyticsWS01. Al seleccionarlo, se habilitará el botón inferior izquierdo Add Azure Sentinel.
5.- Una vez activado y enlazado el servicio, se nos presenta el Panel de Control del Servicio de Azure Sentinel.
La activación del servicio se hace en un modelo de Pago por Uso o Pay-as-you-go, como podemos ver al seleccionar la opción Settings, en el panel lateral izquierdo. El consumo entonces dependerá del volumen de datos integrados al Espacio de Trabajo, por cada Gigabyte de datos analizado por el servicio. Además, hay datos de transmisión asociados a la ingesta de datos en el Espacio de Trabajo de Log Analytics.
La herramienta Azure Pricing Calculator nos ayuda a realizar la estimación de costos para efectos de comparación o planificación. En el cálculo, se consideran los costos asociados tanto al servicio de Azure Sentinel, como los relacionados con Log Analytics.
Como podemos ver en la figura, además del modelo de Pago por Uso, existen otras alternativas de pago que ofrecen descuentos adicionales de acuerdo al volumen de datos por día.
Para darse de baja en
el Servicio, en la parte superior del Panel de Control de la opción Settings, está
la pestaña central que igualmente se denota como Settings. Allí se selecciona
la opción Remove Azure Sentinel, se indica opcionalmente una razón o
descripción del motivo de la baja, y a continuación al final de la página se selecciona
el botón Remove Azure Sentinel from your Workspace. Hay que hacer notar que acá
se está desactivando sólo el servicio de Azure Sentinel, y su vinculación al
Espacio de Trabajo de Log Analytics, pero este último no sufre ninguna modificación.
Operación de Azure Sentinel.
Ya activado el servicio, las acciones posteriores consisten en:
Conectar orígenes de datos. Azure Sentinel incluye un amplio conjunto de conectores que proporcionan integración en tiempo real para muchas soluciones de la industria. En el caso de Microsoft, permite la integración con una variedad de servicio, tales como Microsoft 365, Azure Active Directory, Azure Advanced Threat Protection y Microsoft Cloud App Security. También se pueden integrar orígenes de datos a partir de soluciones de seguridad existentes, tales como firewalls, enrutadores, seguridad de puntos de conexión y muchos más conectores integrados. En la opción Data connectors del panel lateral izquierdo, se puede ver la variedad de conectores a orígenes de datos disponible.
Implementar la Visibilidad de los Datos. Luego de conectar los orígenes de datos a Azure Sentinel, se puede monitorear la data utilizando la integración de Azure Sentinel con Azure Monitor Workbooks. El Panel Overview es la vista predeterminada que presenta la información recopilada a partir de los orígenes de datos conectados, pero es posible construir paneles o vistas personalizadas a partir de la opción Workbooks del panel lateral izquierdo. En este alternativa, se pueden seleccionar plantillas predeterminadas para visualizar la información, o si así lo prefiere, construirla a partir de cero de acuerdo a sus necesidades.
Analizar la información. Para ayudar a reducir el ruido y minimizar el número de alertas a revisar e investigar, Azure Sentinel utiliza analítica para correlacionar alertas y definirlas como incidentes. Así, los incidentes son grupos de alertas relacionadas que en conjunto crean una posible amenaza que debe ser investigada y resuelta. Azure Sentinel proporciona un conjunto de plantillas o reglas integradas que permiten identificar actividades y amenazas sospechosas, e implementar acciones frente a dichas amenazas. Muchas de estas plantillas o reglas se pueden personalizar de acuerdo a las necesidades de la organización. En la opción Analytics, del panel lateral izquierdo y luego en la pestaña Rule templates, se puede ver la lista de reglas preconfiguradas, e igualmente la opción para crear reglas personalizadas.
Automatización y Orquestación. Azure Sentinel se fundamenta en Azure Logic Apps para la implementación de soluciones de automatización y orquestación como respuesta a la aparición de nuevas tecnologías y amenazas. Con Azure Logic Apps es posible automatizar flujos de trabajo que respondan a eventos detectados. Estos son referidos en Azure Sentinel como Playbooks, y se dispone de una amplia galería de playbooks predeterminados que incluye más de 200 conectores para servicios en la forma de funciones de Azure. Los conectores permiten aplicar cualquier lógica en código, ServiceNow, Jira, Zendesk, requerimientos de HTTP, Microsoft Teams, Slack, Windows Defender ATP, y Cloud App Security. Estas opción está disponible en el panel lateral izquierdo identificada como Playbooks.
Investigación. Azure Sentinel cuenta con poderosas herramientas de investigación que ayudan a entender el alcance y determinar las causas raíces de amenazas potenciales de seguridad. En el Panel de Incidentes, es posible seleccionar un incidente, investigar su estado y administrar el ciclo de vida completo de este evento. Incluso se dispone de un gráfico interactivo que permite profundizar en las conexiones de un incidente para llegar a la causa raíz de la amenaza.
Búsqueda de Amenazas. Un buen analista de seguridad debe actuar de manera proactiva frente a amenazas que pueden no haber sido descubiertas por las aplicaciones de seguridad. Azure Sentinel incluye consultas de búsqueda integradas que guían paso a paso para hacer las preguntas correctas y encontrar amenazas no descubiertas con anterioridad, utilizando los datos que ya se encuentran recopilados en el Espacio de Trabajo. Em el Panel lateral izquierdo, en la opción Hunting, se cuenta con una serie de Consultas Integradas para empezar rápidamente y familiarizarse con las tablas y el lenguaje de consulta. Los investigadores de seguridad de Microsoft y la comunidad de GitHub desarrolla y ajusta estas consultas de búsqueda integradas de forma continua para proporcionar un punto de entrada y ayudar a buscar el inicio de nuevos ataques.
Participar en la Comunidad. Azure Sentinel es un Servicio que encaja dentro de la filosofía Evergreen de todos los servicios de Azure, es decir, que mantiene la promesa de que todos sus componentes estarán siempre actualizados. Esto incluye el compromiso de los analistas de seguridad, que constantemente están creando y desarrollando nuevos workbooks, playbooks, consultas proactivas y mucho más, publicándolas de manera que puedan ser utilizadas en los ambientes de la organización. Es posible descargar contenido desde el repositorio de la comunidad GitHub o contribuir con desarrollos propios, registrándose a través de la opción Community, en el panel lateral izquierdo.
Próximos Pasos.
Hasta este punto hemos dado un paseo por las características y funcionalidades de Azure Sentinel, para que lo mantenga en consideración si desea mejorar la postura de seguridad de su empresa al tiempo que simplifica las operaciones de seguridad.
En la Corporación EIGO también estamos comprometidos con la seguridad de nuestros clientes, para apoyarlos de principio a fin en el desarrollo e implementación de estrategias de seguridad basadas en los Servicios de Azure, incluyendo el Servicio Azure Sentinel que hemos presentado en este artículo. Si desea conocer nuestro portafolio, incluyendo nuestros servicios de consultoría y capacitación, puede consultar los enlaces a nuestros sitios web, ponerse en contacto con nosotros y darnos la oportunidad de contribuir a la transformación digital de su empresa o negocio.