SIEM y Security Analytics

SIEM es una herramienta, un objeto. Analytics es una acción, un verbo. La herramienta puede contener las funciones para acciones (como análisis). La acción no es una herramienta.

Es razonable que las herramientas de análisis no agreguen o muestren alertas.

Un SIEM permite a los analistas de seguridad realizar análisis de seguridad. Un SIEM realiza lo siguiente:

1. Analizar y normalizar los mensajes de registro recibidos.

   Por ejemplo, el proveedor de firewall A usa la clave src_ip para registrar la dirección IP de origen, mientras que el proveedor de firewall B usa la clave SOURCE en mensajes de registro. Estandarizar las propiedades extraídas del registro. Los mensajes no solo simplifican la búsqueda y el procesamiento posterior, sino que también También es eficiente porque las expresiones regulares para extraer datos de los mensajes de registro solo deben evaluarse una vez.

2. Análisis de seguridad automatizados ejecutando pruebas configurables contra los mensajes de registro normalizados.

   Por ejemplo, pruebe y avise a los indicadores de compromiso, como un servidor de impresión balizamiento a una dirección IP externa.

3. Permitir que los analistas de seguridad realicen análisis de seguridad manuales, incl. Informes y auditorías de cumplimiento.

   Un SIEM permite una fácil búsqueda y visualización de las actividades registradas en los mensajes de registro. Esto incluye almacenar los mensajes de registro normalizados y mantenerlos en un modo eficiente, lo cual es un desafío debido a la enorme cantidad de datos.

En tu pregunta, mencionas "comportamientos del usuario". Creo que es discutible si User Behavior Analytics (UBA) es una parte intrínseca de un SIEM. Micro Focus ArcSight e IBM QRadar SIEM agregaron UBA hace solo dos o tres años.