Un buen SIEM debe ser capaz de detectar distintas amenazas e indicadores de peligro ante ataques de phishing, malware, robo de credenciales, movimiento lateral y exfiltración de datos, entre otros muchos. Su principal misión es la de enviar alertas tempranas antes de que cualquier peligro se convierta en un foco de daños para la organización, pero no todas las soluciones SIEM son iguales.
Una tecnología SIEM eficaz debe ofrecer un proceso analítico avanzado de la seguridad, que identifique todo tipo de amenazas distintas, pero hay mucho más. También tiene que lograr una integración sin fisuras con los activos y recursos TI de cada cliente, de la forma más sencilla y transparente posible, para que los equipos de seguridad internos no pierdan su valioso tiempo en configuraciones o readaptaciones del resto de recursos.
Su despliegue tiene que aportar la flexibilidad necesaria para que todas las organizaciones encuentren una vía escalonada de entrada, desde entornos más reducidos hasta los más grandes y exigentes. Desde implantaciones en local, hasta en alternativas SaaS o en nube pública, las posibles configuraciones tienen que ser igualmente posibles en todo tipo de ambientes TI.
Su inteligencia y capacidad de análisis serán también compatibles con un sistema que priorice automáticamente las amenazas y alerte de su gravedad; o capaces de consolidar todos los datos de seguridad y cualquier información útil en una misma plataforma e interfaz, para que su consulta sea rápida y transparente.
En suma, una completa solución de analítica de seguridad que aúne gestión de registros, analítica avanzada, análisis de la red, gestión de vulnerabilidades, analítica del comportamiento de los usuarios, inteligencia sobre amenazas e investigaciones basadas en Inteligencia Artificial.
Todo ello en una única plataforma, que sea gestionada desde una sola interfaz, pero que integre todos los componentes necesarios para comenzar a escalar la seguridad con el alcance que cada cliente estime oportuno y una evolución a su ritmo.
