SIEM (Gestión de Información y Eventos de Seguridad)
Definicion
Un SIEM es una plataforma que centraliza, correlaciona y analiza registros y eventos de seguridad de diferentes sistemas para detectar actividades sospechosas e incidentes.
SIEM combina dos funciones: Security Information Management (SIM), recopilación y almacenamiento de registros, y Security Event Management (SEM), análisis y correlación de eventos en tiempo real. Las plataformas SIEM modernas utilizan machine learning para detectar anomalías.
Un SIEM recibe datos de cortafuegos, servidores, endpoints, servicios en la nube y aplicaciones. Al correlacionar eventos de múltiples fuentes, se hacen visibles patrones de ataque que los sistemas individuales no pueden detectar.
Sin un equipo SOC que monitorice el SIEM 24/7, su valor es limitado. Por ello, muchas organizaciones optan por un servicio MDR que combina la funcionalidad SIEM con el análisis humano.