SIEM

Gestión de Eventos e Información de Seguridad (SIEM - Security Information and Events Management) explicada paso a paso y de forma integral para un perfil avanzado de Threat Hunter o analista SOC:

🧩 ¿Qué es un SIEM?

Un SIEM (Security Information and Event Management) es una plataforma que centraliza, correlaciona, analiza y visualiza datos de seguridad procedentes de múltiples fuentes de una infraestructura híbrida (cloud y on-prem). Su propósito es detectar, priorizar y responder ante incidentes de seguridad, permitiendo una visión completa de lo que ocurre en el entorno.


🔄 ¿Qué hace exactamente un SIEM?

Un SIEM moderno realiza 4 funciones principales:

  1. Recopilación de datos (logs, alertas, flujos, eventos).

  2. Normalización y agregación para estandarizar formatos.

  3. Correlación para unir eventos dispersos bajo una misma lógica (ataques multietapa).

  4. Visualización y alerta para facilitar la toma de decisiones.

🧠 Es como tener un cerebro central que unifica las señales débiles y fragmentadas para formar una imagen clara de un ataque en progreso o una anomalía peligrosa.


⚙️ Tipos de recopilación de datos

1. 📦 Basado en agente

  • Se instala un agente software ligero en el host (Linux, Windows, macOS).

  • Filtra, agrupa y envía eventos en tiempo real o por lotes.

  • Ofrece mayor granularidad, capacidad para incluir eventos de seguridad local, EDR y logs personalizados.

  • Ej: Wazuh agent, OSSEC, NXLog.

🔍 Ventaja: Gran profundidad de eventos, visibilidad a nivel de kernel o procesos.


2. 📡 Sin agente (por escucha o reenvío de logs)

  • El dispositivo (router, firewall, switch) envía sus logs al SIEM usando protocolos como Syslog, SNMP, NetFlow o sFlow.

  • El SIEM "escucha" en un puerto o servicio, interpreta y registra.

🔍 Ventaja: Bajo impacto, útil para dispositivos embebidos o de red.


3. 🎯 Sensores de red (captura pasiva de tráfico)

  • Usa puertos espejo o sondas dedicadas para capturar paquetes o flujos.

  • Se registran y analizan eventos que no generan logs tradicionales.

  • Tecnología usada: Zeek (Bro), Suricata, tcpdump, NetFlow v9.

🔍 Ventaja: Permite detección de ataques sin necesidad de logs (p. ej. exfiltración encubierta).


🧪 Agregación y normalización

Una vez recopilados los datos, el SIEM:

  • Los analiza mediante parsers específicos para entender la estructura y contenido de cada tipo de log.

  • Estandariza fechas, formatos y metadatos.

  • Clasifica eventos según gravedad, tipo, origen, actor, técnica, etc.

  • Los mapea a taxonomías como MITRE ATT&CK, STIX o Elastic Common Schema (ECS).

🎯 Objetivo: Convertir cientos de miles de eventos dispersos en un lenguaje común, consultable y correlacionable.


💡 Ejemplo en acción

  • Un host Windows reporta un login sospechoso.

  • Un firewall externo detecta una conexión saliente desde ese host a una IP en lista negra.

  • Un IDS identifica patrones similares a Cobalt Strike en el tráfico del puerto 443.

  • El SIEM correlaciona los tres eventos y lanza una alerta de beaconing de malware en fase de C2.


🧠 Valor clave del SIEM para un Threat Hunter

  • Caza dirigida por hipótesis: puedes buscar patrones específicos, como "múltiples fallos de autenticación seguidos de movimiento lateral".

  • Pivoting entre fuentes: de una IP a un hash, de ahí a un binario, luego al proceso, etc.

  • Retrospectiva forense: revisa 90 días atrás (o más) para detectar campañas ocultas.

Parte 2: Análisis, Correlación, Visualización y Automatización dentro del SIEM

con enfoque avanzado para perfil de Threat Hunter o SOC Analyst

CORRELACIÓN AVANZADA

La correlación es la capacidad clave del SIEM para:

  • Unir eventos aparentemente no relacionados.

  • Detectar patrones complejos de ataque (TTPs).

  • Reducir falsos positivos y priorizar amenazas reales.

🔗 Tipos de correlación

  1. Basada en reglas (Rule-Based Correlation)
    Ejemplo:

    • Si hay 5 fallos de login en 1 minuto desde la misma IP y luego un login exitoso → alerta por fuerza bruta.

  2. Temporal (Time-based)

    • Si en <10 min ocurren eventos en diferentes zonas geográficas desde la misma cuenta → imposible travel.

  3. Relacional (Object linking)

    • Une eventos por hash, IP, usuario, hostname, ID de proceso, sesión, etc.

  4. Secuencial o basada en patrones

    • Detecta técnicas multietapa de MITRE ATT&CK: acceso inicial → ejecución → persistencia → C2.

  5. Correlación basada en inteligencia (TI feeds)

    • Si una IP externa coincide con una lista negra de C2 → alerta inmediata.

  6. Heurística / basada en comportamiento

    • Detecta desviaciones del comportamiento normal del host o del usuario (UEBA).


📊 VISUALIZACIÓN E INFORMES

Un SIEM moderno no es solo texto y reglas, sino dashboards vivos para tomar decisiones rápidas:

  • Gráficas de trending de amenazas.

  • Heatmaps de actividad sospechosa.

  • Top hosts infectados o con parches faltantes.

  • Paneles específicos por MITRE ATT&CK, kill chain o usuarios VIP.

👉 Visualizar ayuda a encontrar anomalías escondidas:
"¿Por qué este usuario tiene 40 GB de tráfico saliente hoy si nunca supera 1 GB?"


🔔 ALERTAS Y PRIORIZACIÓN

Las alertas bien configuradas permiten a los analistas enfocarse en lo importante:

🎯 Priorización inteligente:

  • Por severidad del evento.

  • Por riesgo del activo afectado.

  • Por valoración contextual (¿es un servidor crítico?, ¿usuario administrador?).

🎯 Alertas útiles:

  • Movimiento lateral fuera de horario laboral.

  • Cambios en GPO o cuentas sensibles.

  • Conexiones a dominios recién creados.

  • Ejecución de Powershell con argumentos sospechosos.

⚠️ Un SIEM mal afinado = 10.000 alertas al día sin valor. Un SIEM bien afinado = 20 alertas/día con verdadero impacto.


🤖 AUTOMATIZACIÓN: INTEGRACIÓN CON SOAR

Un SIEM potente se integra con herramientas SOAR (Security Orchestration, Automation and Response) para automatizar respuestas:

🔁 Acciones comunes automáticas:

  • Aislar un host desde EDR o firewall.

  • Bloquear una IP en el perímetro.

  • Solicitar hash a VT o detonarlo en sandbox.

  • Enviar notificación a Slack o Teams.

  • Crear ticket en Jira/ServiceNow.

🔐 Automatizar no significa perder control, sino ganar velocidad en los primeros pasos de contención.


🧪 CASO DE USO AVANZADO (MITRE ATT&CK)

Ataque real modelado en el SIEM:

  • TA0001 (Initial Access): Email con link malicioso.
    → Detectado en logs del gateway.

  • TA0002 (Execution): Usuario hace clic, ejecuta payload.
    → Alertado por EDR, PowerShell con codificación base64.

  • TA0003 (Persistence): Nuevo servicio registrado.
    → SIEM lo detecta en logs de WMI o autoruns.

  • TA0005 (Defense Evasion): Antivirus desactivado.
    → Log del sistema con evento 7036.

El SIEM correlaciona todo el flujo, asigna puntuación de riesgo, lanza alerta y ejecuta playbook de respuesta.


🔍 COMO THREAT HUNTER, TU USO IDEAL DEL SIEM

  • Lanzar queries personalizadas: "¿Qué hosts usan rundll32 para conexiones externas?"

  • Pivotar entre entidades (hash → proceso → host → usuario).

  • Buscar TTPS específicos (Sigma rules, YARA, ATT&CK ID).

  • Extraer logs de contexto para informes forenses o RCA.

  • Investigar campañas APT o ataques dirigidos con datos históricos.

Claves, curiosidades y detalles avanzados sobre SIEM, Threat Hunting y Análisis de Eventos

Que solo un analista de nivel intermedio-avanzado empezaría a notar o aprovechar. Esto es lo que te diferencia del resto: mirar donde nadie más está mirando.


🔐 1. No todos los logs son iguales (ni necesarios)

La sobrecarga de logs es una trampa habitual. Un buen hunter filtra, prioriza y pregunta:
¿Este evento me da visibilidad de TTPs o solo genera ruido?

Por ejemplo:

  • Un log de "login exitoso" en un servidor crítico puede ser más valioso que 100 fallos de login en endpoints estándar.

  • Eventos de creación de servicios o Scheduled Tasks son oro puro para detectar persistencia.


🧬 2. La línea de tiempo lo es todo

No es lo mismo ver eventos aislados que colocarlos en una narrativa cronológica.
Ahí es donde surge el ataque, el movimiento lateral y la evasión.

💡 Una correlación temporal avanzada puede mostrar esto:

makefileCopiar10:01 — PowerShell con B64 10:03 — Creación de servicio anómalo 10:04 — Conexión externa a IP en Rumanía 10:06 — Antivirus desactivado


🧠 3. Threat Hunters usan "Mental Queries"

Antes de escribir una búsqueda, visualizan mentalmente el ataque:

🗣️ "Si yo fuera un atacante, ¿cómo me movería?"
🗣️ "¿Qué técnicas necesitaría usar para pivotar desde este host?"
🗣️ "¿Qué procesos haría spawn de cmd.exe de forma no legítima?"

Luego, escriben las queries basadas en hipótesis, no solo en alertas.


🔎 4. La magia del Event ID olvidado

Todos miran el 4624, 4688, 1102…
Pero pocos miran joyas ocultas como:

  • 7045 – Creación de servicio.

  • 4698 – Nueva tarea programada.

  • 5156 – Conexión permitida por firewall.

  • 4776 – Validación de credenciales NTLM (usado en movimiento lateral).

  • 4104 – PowerShell ScriptBlockLogging (si está habilitado correctamente).


🔥 5. EDR y SIEM son mejores amigos

El EDR ve la acción real en el host, el SIEM te da el mapa general.

✅ Correlacionar eventos de un proceso sospechoso en EDR con:

  • Conexiones externas.

  • Descargas de archivos.

  • Cambios de registro o GPO.

  • Nuevos artefactos persistentes.


🧭 6. Pivotar como un maestro

Un hunter nunca se queda en un solo log. Usa el arte del pivoting:

📌 Desde una IP → hasta el proceso → hasta el usuario → hasta el script → hasta la URL.
Esto crea una cadena de evidencia irrefutable, incluso si no hay IOC conocidos.


🕸️ 7. Sigma rules y MITRE no son la meta, sino el mapa

Las Sigma Rules y MITRE ATT&CK son bases para escribir reglas, no verdades absolutas.

Muchos ataques reales:

  • Combinan múltiples TTPs adaptadas.

  • Modifican scripts para evitar firmas Sigma.

  • Usan LOLBins y técnicas sin archivos (living off the land).

👉 Por eso los hunters de verdad crean reglas Sigma personalizadas, basadas en comportamiento y no solo en IOC.


⚔️ 8. Amenazas sin malware (Fileless)

Muchos ataques avanzados no usan archivos:
Ejemplo: regsvr32 ejecutando código remoto desde un script cifrado en base64.

🧠 Clave: buscar eventos de procesos inusuales o con líneas de comandos excesivamente largas.


🧪 9. Sandboxing interno: clave para análisis en caliente

Algunos SIEM como Splunk o Wazuh se pueden integrar con soluciones de análisis en sandbox (como Cuckoo o Falcon Sandbox).

Esto permite:

  • Extraer ejecutables capturados en tráfico o eventos.

  • Lanzarlos en sandbox aislada.

  • Obtener IOC, comportamiento, persistencia, C2, etc.


🛡️ 10. El verdadero valor está en la mezcla

SIEM ≠ magia. La eficacia está en:

  • La calidad del parsing de logs.

  • La normalización correcta.

  • Las correlaciones útiles.

  • La visibilidad de puntos ciegos.

  • La participación activa del analista.

Cuando conectas todo (EDR, NDR, SOAR, Threat Intel, SIEM, lógica), dejas de responder alertas y empiezas a anticipar ataques.

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar