¿Cuál es la diferencia entre un SIEM (Información de seguridad y Gestión de eventos) y un SOC (Centro de operaciones de seguridad)?
¿Trabajan juntos? ¿Y si es independiente cuándo usar cuál?
¿Cuál es la diferencia entre un SIEM (Información de seguridad y Gestión de eventos) y un SOC (Centro de operaciones de seguridad)?
¿Trabajan juntos? ¿Y si es independiente cuándo usar cuál?
En un nivel alto, solo recuerda que:
Una gestión de información y eventos de seguridad (SIEM, por sus siglas en inglés) es una herramienta que recopila y normaliza los registros que se prueban contra un conjunto de reglas de correlación que cuando se activan crean eventos para que analicen los analistas humanos.
Un centro de operaciones de seguridad (SOC) es una unidad centralizada de analistas de seguridad (y roles de trabajo relacionados) que se ocupan de problemas de seguridad, utilizando una veracidad de herramientas. Una de las principales herramientas utilizadas por los analistas de seguridad es un SIEM, ya que es el SIEM que "expondrá" los incidentes de seguridad al analista humano.
Por lo general, no tendrá un SOC sin un SIEM. Pero es posible que los equipos de TI que tienen un elemento de seguridad maduro puedan tener un SIEM (o algo similar). Aunque a menudo es el caso (según mi experiencia) que la capacidad del SIEM se subcontratará a un tercero o se acumulará en un SOC dedicado.
También puede encontrar que los SIEMS se usan en equipos de respuesta a incidentes cibernéticos (CIRT, por sus siglas en inglés) que son similares a los SOC, pero pueden haber ampliado la capacidad en otras áreas, como el intercambio de información, inteligencia y reposo de incidentes más profundos.
Si el SOC era una tienda, el analista de seguridad sería la asistencia de venta al por menor que trabaja en las cajas y el SIEM sería la caja.