Cómo funcionan las reglas de correlación SIEM

Cómo funcionan las reglas de correlación SIEM

SIEM es una poderosa herramienta de seguridad cuando se implementa correctamente. Los dispositivos de seguridad de red como los dispositivos IDS, los dispositivos IPS y los firewalls generan una gran cantidad de registros. Un SIEM bien configurado alertará a los administradores de seguridad a qué eventos y tendencias deben prestar atención. De lo contrario, estarán demasiado perdidos en el ruido del registro de eventos para poder manejar de manera efectiva las posibles amenazas de seguridad a la red.

Uno de los componentes claves que requiere un SIEM en buen funcionamiento es que las reglas de correlación SIEM sean prácticas y sensatas. ¡Vamos a aprender cómo funcionan las reglas de correlación SIEM!

¿Qué es una regla de correlación?

Los distintos dispositivos de la red generan constantemente registros de eventos que se introducen en el sistema SIEM. Una regla de correlación SIEM le dice al sistema SIEM qué secuencias de eventos podrían ser indicativas de anomalías que pueden sugerir debilidades de seguridad o ataques cibernéticos. Cuando suceden “x” e “y” o “x” e “y” más “z”, los administradores deben ser notificados.

Por ejemplo, aquí tenemos algunos ejemplos de reglas de correlación SIEM que refleja este concepto.

  • Detección de nuevos servidores DHCP en la red teniendo en cuenta que las conexiones internas o externas que usan paquetes UDP (“x”) tienen el puerto 67 como destino (“y”) y la dirección IP de destino no está en la lista de IP registradas (“Z”).

En este primer ejemplo podría indicar que un atacante cibernético establece un servidor DHCP para adquirir acceso malintencionado a su red. ¡Cualquier servidor DHCP autorizado usaría una de sus direcciones IP registradas!

  • Advertencia a los administradores si se proyecta que hay cinco intentos de inicio de sesión fallidos con diferentes nombres de usuario de la misma IP a la misma máquina en quince minutos (“x”) y también si ese evento es seguido por un inicio de sesión exitoso desde esa misma dirección IP a cualquier máquina dentro de la red. (“Y”).

En este segundo ejemplo podría indicar que un atacante cibernético aplica fuerza bruta a un vector de autenticación y luego adquiere con éxito la autenticación en su red. Podría ser un posible ataque de escalada de privilegios.

Ambas reglas de correlación SIEM podrían desencadenarse por errores razonables y errores simples del usuario o fallas técnicas. Pero también son indicadores claves de ciberataques y los administradores de seguridad deben verificarlos de inmediato.

Correlación SIEM en pocas palabras

Las reglas de correlación SIEM correctamente diseñadas eliminan todo lo irrelevante y vacío de contenido de los registros de eventos de su red para detectar qué secuencias de eventos son indicaciones probables de un ataque cibernético. Por lo tanto, se debe de tratar de tener cuidado al desarrollar las reglas de correlación SIEM. El SIEM es manejado por dispositivos y los dispositivos simplemente ejecutarán cualquier instrucción que se les des. Cualquier usuario idear reglas prácticas de correlación SIEM para que el sistema SIEM pueda despertarlo cuando haya un posible ataque cibernético al que se le debe prestar atención.

¿Qué es la normalización en SIEM?

Varios proveedores diferentes de software, hardware y componentes de red utilizan sus propios formatos de registro de eventos. Un registro de eventos tendrá diferentes campos de información. Un sistema SIEM hará todo lo posible para leer los distintos formatos de registro de eventos para entenderlos. Si se crea hojas de cálculo de Excel, imagina todas las diferentes formas en que alguien podría decidir cuáles deberían ser los campos para organizar los mismos datos. ¿Deben registrarse las direcciones IP en la columna A o en la columna D? ¿La columna de dirección IP debería estar etiquetada como “IP”, “Dirección IP”, “Direcciones IP”, “IP de puerta de enlace” o “IP públicas”? ¿Deberían los puertos UDP tener una columna y los puertos TCP una columna diferente, o deberían todos los puertos UDP y TCP estar en la misma columna?

La normalización del registro de eventos es un esfuerzo por cambiar los formatos de registro de eventos de diferentes proveedores y componentes de red para que sean lo más universales posible dentro de su red. Obviamente, un registro de eventos de antivirus se verá muy diferente de un registro de eventos de firewall. Pero si la red tiene firewalls de más de un proveedor, es posible que los registros de eventos tengan el mismo formato.

La normalización del registro de eventos puede hacer que el SIEM y sus reglas de correlación SIEM se ejecuten de manera mucho más eficiente. Si puede mejorar la normalización del registro de eventos, será menos probable que el SIEM cometa errores o se pierda eventos que deberían preocupar a un administrador de seguridad.

Desafíos de la regla de correlación SIEM

Las reglas de correlación SIEM pueden generar falsos positivos como cualquier tipo de algoritmo de monitoreo de eventos. Demasiados falsos positivos pueden hacer que los administradores de seguridad desperdicien sus esfuerzos, lo que podría aplicarse para responder a amenazas y ataques reales. Es imposible tener cero falsos positivos en un SIEM que funcione correctamente. Al configurar las reglas de correlación SIEM, se debe lograr un equilibrio entre la reducción de las alertas de falsos positivos y no perder ninguna anomalía posible que pueda indicar un ataque cibernético.

Es posible que algunas reglas de correlación SIEM listas para usar no sean aplicables a una red específica. Decidir qué reglas, preconfiguradas, deshabilitar y conocer qué reglas deben escribirse desde cero es otro desafío.

Las reglas SIEM filtradas incorrectamente pueden hacer que la ejecución lenta requiera mucho tiempo para un sistema SIEM. Los administradores deben filtrar la aplicación de reglas para determinar qué datos son relevantes y qué datos son irrelevantes en su canalización de eventos.

Otro factor es que no todos los SIEM son iguales. Algunos tienen análisis de prevención de amenazas incorporado listo para usar, lo que las hace mucho más valiosas como es el caso de redborder.

redborder SIEM brinda toda la información, alertas y automatización necesarias para estar dos pasos por delante de las amenazas en línea. Recopila, normaliza, enriquece, correlaciona y almacena registros de una manera altamente escalable, segura e inteligente, de modo que los datos sean valiosos tanto por sí mismos como en cooperación con los otros módulos o aplicaciones.

Share this post

¡Conoce nuestra solución de ciberseguridad!


Redborder es una solución Big Data basada en tecnologías Open Source para la visibilidad de red,
el análisis de datos y la ciberseguridad completamente escalable según las necesidades de la infraestructura de red de cada compañía
o Provedor de servicios

Solución NDR

Escalable y modular

On premise or cloud

Desktop, Ios/ Android