Las soluciones SIEM son una combinación de las categorías de productos formalmente dispares SIM (Security Information Management) and SEM (Security Event Manager). La tecnología SIEM proporciona un análisis en tiempo real de las alertas de seguridad generadas por el hardware y software de red. Las soluciones SIEM pueden venir como software, appliance, o administración de servicios, y también son utilizados para loguear datos de seguridad y generar reportes para fines de complimiento.

Las siglas SEM, SIM y SIEM se han utilizado indistintamente, aunque hay diferencias en el significado y las capacidades del producto. El segmento de gestión de la seguridad que se ocupa del monitoreo en tiempo real, correlación de eventos, notificaciones y vistas de la consola que comúnmente se conoce como Gestión de Eventos de Seguridad (SEM). La segunda área ofrece almacenamiento a largo plazo, el análisis y la comunicación de los datos de registro, y se conoce como Gestión de Seguridad de la Información (SIM).

El término Información de Seguridad y Gestión de Eventos (SIEM), acuñado por Mark Nicolett y Amrit Williams, de Gartner, en 2005, describe las capacidades de los productos de la recopilación, análisis y presentación de información de la red y los dispositivos de seguridad, las aplicaciones de gestión de identidades y accesos, gestión de vulnerabilidades y los instrumentos de política de cumplimiento, sistema operativo, base de datos y registros de aplicaciones. Un punto clave es monitorear y ayudar a controlar los privilegios de usuario y de servicio, servicios de AD y otros cambios de configuración del sistema, así como el abastecimiento de auditoría de registro, revisión, y respuesta a incidentes.

> Capacidades de un SIEM

  • Agregación de datos: SIEM / LM (administración de logs) soluciones para administración de logs desde muchas fuentes, incluyendo redes, seguridad, servidores, bases de datos, aplicaciones, proporcionando la capacidad de consolidar los datos monitoreados para ayudar a evitar la pérdida de los acontecimientos cruciales.
  • Correlación: busca los atributos comunes, y relaciona eventos en paquetes o incidentes. Esta tecnología proporciona la capacidad de realizar una variedad de técnicas de correlación para integrar diferentes fuentes, con el fin de convertir los datos en information. La correlación es típicamente una función de la parte de gestión de la seguridad en una soultion SIEM completa.
  • Alerta: el análisis automatizado de eventos correlacionados y la producción de alertas, para notificar a los destinatarios de los problemas inmediatamente. Una alerta puede ser un tablero de instrumentos, o enviarse a través de canales de terceros, tales como el correo electrónico.
  • Dashboards: SIEM / LM herramientas para tomar los datos del evento y convertirlo en tablas informativas para ayudar a ver patrones o identificar una actividad que no está siguiendo un patrón estándar.
  • Cumplimiento: Las aplicaciones SIEM  se pueden emplear para automatizar la recopilación de datos y la elaboración de informes que se adapten a los procesos existentes de seguridad, gobernabilidad y auditoría.
  • Retención: SIEM / SIM emplea soluciones a largo plazo de almacenamiento de datos para facilitar la correlación de datos con el tiempo, y para proporcionar la retención necesaria para los requisitos de cumplimiento. Un largo plazo de retención de registros de datos es crítica en la investigación forense, ya que es poco probable que el descubrimiento de una violación de la red sea en el momento de la infracción se produzcan.