SIEM como servicio

Un sistema de gestión de información y eventos de seguridad (Security Information and Event Management) que centraliza el almacenamiento y la interpretación de los datos relevantes de seguridad de cualquier elemento de la red del cliente: Firewall, Routers, Switches, servidores o estaciones de trabajo.

Sí, se debe cotizar una licencia. De igual modo con las licencias opcionales de Agente y EndPoint.

La capacidad de almacenamiento a necesitar puede ser construida con uno o más bloques de los almacenamientos disponibles en la oferta desde Bloque 500 GB - Almacenamiento SIEM hasta Bloque 5 TB - Almacenamiento SIEM.

Sí, ver las alertas configuradas por defectos: 1) Alerta de acceso a portales WEB clasificados como de entretenimiento, transferencia de contenido u otras tipificados en el Programa de Mejoramiento de Conducta. 2) Alerta de utilización de aplicaciones no autorizadas, en función la línea base trazada. 3) Alerta de utilización de dispositivos removibles. 4) Alerta de violación a la política de integridad de ficheros (PCI-DSS). 5) Alerta sobre correos electrónicos recibidos y clasificados como de carácter no deseado o de origen mercadológico. 6) Alerta sobre la utilización de herramientas de escaneo sobre direcciones IP propiedad de la compañía. 7) Alerta sobre la utilización de herramientas masivas de escaneo de vulnerabilidades técnicas. 8) Alertas alusivas a correos electrónicos que contengan URL malicioso. 9) Alertas generadas por sistema Anti-Malware. 10) Alertas sobre la creación y eliminación de objetos a nivel de sistema. 11) Alertas sobre la modificación de los registros de auditoría. 12) Alto volumen de datos siendo procesados por elementos críticos de la red o la arquitectura técnica de S.I. 13) Ataque de seguridad vía RED. 14) Cambios de contraseñas en cuentas administrativas (PCI-DSS). 15) Conexiones hacia IP(s) con reputación maliciosa Consultas DNS hacia dominios con reputación maliciosa. 16) Inicios de sesión fuera de horario administrativo (PCI-DSS). 17) Intentos fallidos de inicio de sesión superiores a 3 (PCI-DSS).

La solución de SIEM permite vincular cualquier tipo de dispositivo de red que compone una empresa. Ver listado de equipos soportados en el siguiente enlace: Equipos Soportados SIEM.

El Ancho de Banda recomendado va a depender de la cantidad de eventos por segundos generados por los equipos del cliente. Se evaluaría al momento del levantamiento con el Ingeniero de Diseño & Soluciones.

• Recursos Minino: 4 vCPUS 4 Memoria RAM 125 GB Disco Duro. • Recursos Recomendados: 8 vCPUS 8 Memoria RAM 125 GB Disco Duro.

Desde la plataforma de SIEM se pueden visualizar varios tipos de reportes prediseñados de incidentes, cacería de amenazas, dispositivos de la red, disponibilidad, desempeño. Puede ser visualizados desde el mismo portal web o recibidos vía correo en formatos CSV o PDF. Ver ejemplo de reportes de uso frecuente: Reporte de intentos fallidos de inicio de sesión de cualquier equipo (Recurrencia semanal), Reporte Cumplimiento Banco Central (3 Veces al día).

Si, se puede diseñar desde el mismo portal web o solicitar a través de su consultor la asistencia de uno de nuestros ingenieros.

No, la empresa garantiza la entrega de los reportes a los clientes que contraten el SIEM. Queda en manos del cliente la responsabilidad de entrega de reportes solicitados por organismo regulador.

No, el contenido de los logs puede ser consultado, pero no pueden ser extraídos en formato de archivo.

No, la plataforma no realiza Backup de los eventos eliminados pasado el tiempo de retención.