Skip to main content

Security Information and Event Management - SIEM

SIEM (Security Information and Event Management) es una solución centralizada que recopila, normaliza, analiza y correlaciona logs y eventos de diferentes sistemas y dispositivos de una infraestructura de TI para identificar comportamientos sospechosos, violaciones de seguridad y generar alertas en tiempo real.

Une dos funciones clásicas:

  • SIM (Security Information Management) – recopila y almacena logs.
  • SEM (Security Event Management) – analiza eventos y genera alertas.

Juntas, estas funciones permiten que el equipo de seguridad (SOC, Blue Team, IAM, etc.) detecte, investigue y responda a incidentes.

Es una de las piezas que compone el arsenal del SOC.

  • Centralización de logs: Reúne logs de firewalls, servidores, endpoints, aplicaciones cloud (AWS, GCP, Entra ID, etc).
  • Detección de amenazas: Correlaciona eventos aparentemente aislados para descubrir patrones de ataque.
  • Respuesta a incidentes: Genera alertas, dispara automatizaciones (SOAR), permite investigaciones detalladas.
  • Compliance: Ayuda a cumplir requisitos de normas como RGPD, ISO 27001, PCI-DSS.
  • Análisis Forense: Facilita el análisis post-incidente con historial detallado.
  1. Recopilación de Datos: El SIEM ingiere datos de diversas fuentes:
  • Firewalls, IDS/IPS
  • Sistemas Operativos
  • Servicios Cloud (AWS CloudTrail, GCP Audit Logs)
  • Active Directory / Entra ID
  • Aplicaciones de terceros (como Jira, BetterCloud)

  1. Normalización. Los datos llegan en formatos diferentes. El SIEM normaliza todo en un estándar propio (JSON, CEF, LEEF etc.).

  2. Correlaciones y Reglas: El SIEM aplica reglas o machine learning para identificar comportamientos extraños:

  • "Usuario inició sesión desde China y desde España en 10 min"
  • "Intento de inicio de sesión falló 50 veces en 1 minuto"

  1. Alertas y Cuadros de Mando: Alerta al equipo de seguridad o dispara automatizaciones vía SOAR (ej: revocar token del usuario en Entra ID automáticamente).

  2. Almacenamiento y Retención: Guarda los logs por meses/años para fines de auditoría o investigación.

Algunos ejemplos de uso:

  • Identificar un usuario de IAM intentando escalar privilegios en AWS.
  • Detectar exfiltración de datos vía un servidor mal configurado.
  • Saber que un desarrollador accedió a datos de producción fuera del horario.
  • Ver intentos de fuerza bruta en Entra ID o Google Workspace.

El SIEM es la base para automatización con SOAR siendo responsable de disparar los gatillos que activan workflows de respuesta. SIEM + SOAR es el matrimonio perfecto."

El SIEM necesita un ajuste fino para disminuir falsos positivos. Es necesaria una configuración precisa para evitar sobrecarga. Por eso es bueno tener un Blue Team afilado.

Principales Herramientas

Existen varios SIEMs en el mercado, pero siendo bien directo, no existe SIEM open source que compita de frente con los de pago.

NombreLicenciaObservación
Splunk SIEM.PagoUno de los más usados en el mercado.
Microsoft SentinelPago (Azure)Integrado nativamente con Azure y Entra ID.
IBM QRadarPagoFuerte en ambientes corporativos complejos.
Elastic SIEMOpen SourceBasado en Elastic Stack (Elasticsearch).
GraylogOpen SourceLigero, bueno para ambientes medios/pequeños.
Sumo LogicSaaS/PagoEnfocado en cloud y analytics.

ELK como SIEM?

La pila ELK siempre fue la solución open source más popular usada como base para construir un SIEM, antes de dejar de ser 100% open source. Importante destacar: estamos hablando de un conjunto de herramientas que permite crear un SIEM, y no de un SIEM listo por sí solo.

La pila ELK está formada por:

  • Elasticsearch (almacenamiento e indexación de datos). Motor de búsqueda y almacenamiento, óptimo para datos de series temporales.
  • Logstash (ingesta y procesamiento de logs). Agrega, filtra, procesa y enriquece prácticamente cualquier tipo de dato.
  • Kibana: Interfaz de visualización poderosa para consultas y cuadros de mando.
  • Beats: Agentes ligeros para recopilación de datos y envío a Logstash o directamente a Elasticsearch.

Esta stack ofrece toda la infraestructura necesaria para centralizar, tratar y visualizar logs — pero no entrega un SIEM listo. Todavía se necesita mucho trabajo manual para crear reglas de correlación, detecciones de amenazas, alertas e informes. Nada viene listo.

Desde 2021, Elasticsearch y Kibana pasaron a usar la licencia SSPL, lo que los alejó del open source puro.

Ese mismo año nació OpenSearch, un fork de Elasticsearch y Kibana mantenido por Amazon, compuesto por:

  • Base de datos OpenSearch (sustituto de Elasticsearch)
  • OpenSearch Dashboards (sustituto de Kibana)

Pero, así como ELK, OpenSearch por sí solo tampoco es un SIEM completo, es una plataforma para construcción de uno.

¿Y el Elastic SIEM en esta historia? Es simplemente un conjunto de:

  • Visualizaciones
  • Reglas pre-listas
  • Integraciones de seguridad

Todo construido sobre la Elastic Stack. No es un producto separado, sino una feature de Elastic Security, que utiliza Elasticsearch para procesar datos de seguridad. En la práctica, es un punto de partida para quien desea transformar ELK en SIEM, sin necesidad de empezar desde cero.

Aun así, no es un SIEM listo para SOC corporativo, como QRadar o Splunk ES.

Todavía necesitas:

  • Crear reglas de correlación avanzadas;
  • Normalizar datos manualmente;
  • Automatizar respuestas con otras herramientas externas (SOAR, scripts);
  • Montar cuadros de mando e informes específicos (ej: PCI, HIPAA).

Es decir, Elastic SIEM es el intento de Elastic de entregar un camino inicial en el mundo de los SIEMs, pero sin abandonar la filosofía de "hazlo tú mismo" típica de ELK.

La Elastic Stack se convirtió en base de muchas soluciones que la gente "forkeó" o empaquetó para crear sus propios productos de observabilidad o seguridad. Algunas son:

  • OpenSearch: Amazon creó su "propio ELK" con mejoras y mantuvo Open Source.
    • Añadió nuevos dashboards
    • Machine learning básico
    • Security Plugin (control de acceso, TLS)
    • SQL & Piped Queries
  • Wazuh`: Tomaron (ELK o OpenSearch) + Beats, añadieron detección y correlación de seguridad real.
    • Añadió reglas de seguridad
    • Análisis de log
    • Monitorización de integridad
    • Detección de Malware
    • Mejoraron la instalación
    • Si vas a utilizar una solución open source creo que esta es la más interesante.

Graylog

Es, esencialmente, una plataforma de log management (gestión y análisis de logs), así como ELK Stack, pero con un enfoque bien definido:

  • Interfaz simple
  • Facilidad de ingesta, análisis y búsqueda de logs
  • Baja curva de aprendizaje (comparado con ELK)

Posee el módulo 'Graylog Security', que añade algunas funciones típicas de SIEM, pero de forma limitada, sirve más para visibilidad y alertas básicas que para un SOC completo.

  • Cuadros de mando de seguridad
  • Reglas de detección
  • Correlation Engine (limitado)
  • Alertas
  • Enriquecimiento básico de logs (ej: GeoIP, DNS, WHOIS)

Pero la mayoría de las cosas son básicas.

Todavía no existe SIEM open source 100% 'listo para uso' que rivalice con soluciones enterprise como Splunk ES, Sentinel o QRadar.

En el caso de SIEM, las soluciones open source son generalmente elegidas por empresas pequeñas y medianas, donde se tiene talento, pero no tanto dinero. Cuando la empresa puede, sabe que el talento en el mercado recibe nuevas propuestas y prefiere facilidades con las que otros también puedan trabajar.

Splunk

Splunk (Enterprise Security) todavía es considerado uno de los mejores (si no el mejor) SIEM del mercado, pero con algunas verdades que nadie te cuenta:

  • Altamente escalable — soporta terabytes de logs/día fácilmente.
  • Search Language (SPL) — poderosa y flexible para crear cualquier consulta o detección.
  • Integraciones absurdas — prácticamente todo vendor (AWS, GCP, Palo Alto, CrowdStrike, etc) tiene app lista para Splunk.
  • Detección comportamental y UEBA — lista y ajustable.
  • Tiene un óptimo SOAR en la misma plataforma
  • Contenido de seguridad listo — playbooks, cuadros de mando y correlaciones listas para SOC real.
  • Marketplace gigante — apps y plugins de seguridad para cualquier escenario.

Pero tiene el lado oscuro:

  • ¡Carísimo! El coste por GB indexado es absurdo, aún más en cloud.
  • Curva de aprendizaje alta del Search Language.
  • Infra pesada cuando es on-premise.
  • Splunk cobra por GB de datos ingeridos/día cuando es SaaS.
  • Licenciamiento confuso con precios variando dependiendo del uso (ingesta, usuarios, features).

Splunk es overkill (y caro) para medianas empresas, excepto en casos muy específicos (como bancos o empresas con exigencias fuertes de compliance). Para necesidades básicas de visibilidad de logs y alertas, existen opciones mucho más económicas y viables.

QRadar también es caro, quedando en la misma categoría de Splunk en términos de coste y complejidad.

Es ahí donde Sentinel se destaca, especialmente si la empresa ya utiliza Entra ID y el ecosistema Azure, pues la integración nativa reduce mucho el esfuerzo operacional y de coste inicial.

Y para quien busca una solución open source madura y de bajo coste, Wazuh, sea on-premises o en Wazuh Cloud, es hoy la opción más coste/beneficio.