Los sistemas de información de seguridad y gestión de eventos (SIEM) son plataformas de registro centralizadas para analizar datos de eventos en tiempo real para la detección temprana de ataques cibernéticos dirigidos y violaciones de datos. Un SIEM se utiliza como herramienta para recopilar, almacenar, investigar e informar sobre datos de registro para detección de amenazas, respuesta a incidentes, análisis forense y cumplimiento normativo.

La recopilación de registros es el elemento vital de los SIEM y otras tecnologías de análisis de seguridad. Los datos de las aplicaciones, el tráfico de red y los datos finales nos brindan información interesante sobre nuestra infraestructura. Cuantas más fuentes de datos estén disponibles, más se puede lograr con el análisis de seguridad. Con todas las fuentes de registro disponibles, ya pasaron los días de hablar en términos de gigabytes de datos: las empresas hoy en día trabajan regularmente con terabytes y petabytes.

La escala y la arquitectura distribuida nativa son clave cuando se maneja una explosión de datos. Estos rasgos también son dos de los valores centrales de Elasticsearch. En esta publicación de blog, exploraremos cómo comprender las fuentes de datos relevantes para el análisis de seguridad y cómo incorporarlas a Elastic Stack.

Como una nota para el lector, los detalles que se muestran aquí son solo una guía de referencia para comenzar la recopilación de datos para análisis de seguridad. Acceso completo al articulo/tutorial desde la web de Elastic.

Fuente: Sitio web Elastic