Aitana Security Lab | Enterprise Vulnerability Assessment Platform

¿Qué es un SIEM?

SIEM (Security Information and Event Management) combina SIM (gestión de información de seguridad — almacenamiento y análisis histórico) y SEM (gestión de eventos de seguridad — correlación en tiempo real). Centraliza logs de toda la organización y los correlaciona para detectar amenazas.

Sin SIEM:

Un atacante hace 500 intentos de login fallidos repartidos en 50 servidores diferentes. Nadie lo ve porque cada servidor ve solo 10 intentos.

Con SIEM:

El SIEM correlaciona los 500 intentos de la misma IP en 10 minutos → alerta automática de brute force distribuido.

Arquitectura de un SIEM

Fuentes de datos (Log Sources)

Firewalls, IDS/IPS, AV/EDR, aplicaciones, AD, bases de datos, proxies, DNS, VPN, cloud (AWS CloudTrail, Azure AD logs).

Colección y Normalización

Agentes (Splunk UF, Elastic Agent, Wazuh agent) o syslog. Los logs de distintos formatos se normalizan al esquema del SIEM (CEF, ECS, CIM).

Almacenamiento (Data Lake / Index)

Logs históricos retenidos 12-24 meses (compliance) o más. Búsqueda rápida para hunting y forense.

Correlación y Analytics

Motor de reglas que cruza eventos de múltiples fuentes en ventanas de tiempo. Detección basada en firmas y anomalías (UEBA).

Alertas y Casos (SOAR)

Cuando se activa una regla, se crea un incidente con prioridad. SOAR (Security Orchestration) puede automatizar la respuesta.

Plataformas SIEM

Splunk Enterprise Security

Comercial líder

El SIEM más adoptado en grandes empresas. SPL (Search Processing Language) muy potente. Alto coste por volumen de datos.

Microsoft Sentinel

Cloud-native (Azure)

SIEM cloud con integración nativa M365/Azure. KQL como lenguaje de queries. Pago por volumen de logs ingestados.

Elastic SIEM

Open core

Stack ELK (Elasticsearch, Logstash, Kibana) con módulo SIEM. Flexible y económico. Alta curva de configuración.

Wazuh + OpenSearch

Open source

SIEM + HIDS open source. Excelente para empresas medianas. Comunidad activa. Certificado PCI-DSS.

IBM QRadar

Comercial

Potente en correlación y threat intelligence integrada. Usado en sector financiero y defensa.

CrowdStrike Falcon SIEM

Cloud + EDR

Integración nativa con EDR. Ideal para organizaciones que ya usan CrowdStrike.

Casos de Uso de Detección

Brute Force / Password Spray

Más de 20 intentos fallidos desde la misma IP en 5 minutos. Password spray: 1 intento por usuario en muchos usuarios.

# Splunk SPL index=auth sourcetype=linux_secure "Failed password" | stats count by src_ip, user | where count > 20 | eval alert="Posible brute force"

Lateral Movement (Pass-the-Hash)

Múltiples autenticaciones NTLM (EventID 4624, tipo 3) desde la misma fuente a diferentes destinos en poco tiempo.

# KQL (Sentinel) SecurityEvent | where EventID == 4624 | where LogonType == 3 // Network logon | where AuthenticationPackageName == "NTLM" | summarize count() by Account, Computer, IPAddress

Data Exfiltration

Transferencias grandes de datos desde la red interna hacia IPs externas no clasificadas como destinos legítimos.

# Elastic EQL network where destination.bytes > 100000000 // > 100 MB and not destination.ip in ("10.0.0.0/8", "172.16.0.0/12") and source.ip in ("10.0.0.0/8")

Buenas Prácticas

Definir los casos de uso antes de implementar el SIEM — no ingestar todo sin dirección.

Priorizar log sources de mayor valor: AD, firewall, EDR, proxy, DNS.

Establecer un proceso de triage de alertas — sin proceso, el SIEM genera fatiga de alertas.

Tunear las reglas continuamente: reducir falsos positivos sin reducir verdaderos positivos.

Proteger el SIEM con acceso privilegiado: comprometer el SIEM da visibilidad de toda la red.

Retención mínima de logs según compliance: PCI-DSS 12 meses, GDPR recomienda los necesarios.

Siguiente Paso

Aprende las técnicas y herramientas del análisis forense digital

Forense Digital y Cadena de Custodia →

SIEM: Correlación de Logs y Detección de Amenazas