Existe una connotación heredada asociada a SIEM que ha llevado a los proveedores a publicitarse como una iteración de una solución de próxima generación. Pero, ¿es necesario? He estado luchando por encontrar soluciones que se clasifiquen como «SIEM heredado», es decir, SIEM sin algún tipo de capacidades o módulos de automatización, respuesta o detección de anomalías. Tiene sentido que SIEM albergue todas estas capacidades. Lo que no tiene sentido es este intento no sincronizado de diferenciar las soluciones actuales de las de 2015. Echemos un vistazo rápido a cómo se llaman hoy las soluciones SIEM: SIEM de fusión SIEM de próxima generación SIEM evolucionado SIEM de defensa unificada SIEM SaaS nativo de la nube SIEM «No es un SIEM» (también conocido como plataforma de operaciones de seguridad unificada) Entonces, ¿es esto un problema? Las diferentes versiones de los nombres de los productos no son nada nuevo, pero en este caso, crean mucha confusión en el mercado. Primero, estos nombres no significan nada inherentemente. Claro, algunos ofrecen indicaciones, como «plataforma SIEM SaaS nativa de la nube», pero en términos generales, no hay una diferencia objetiva entre un SIEM de próxima generación y un SIEM evolucionado. En segundo lugar, hay múltiples permutaciones de módulos que son diferentes de un proveedor a otro. Uno puede ofrecer SIEM + SOAR + UEBA, mientras que otro puede ofrecer SIEM + ASM + XDR. Si bien es genial tener productos de seguridad más completos, es posible que no necesite o no desee los módulos adicionales. Las soluciones SIEM «No es un SIEM» agregan otra capa de confusión, ya que estos productos hacen todo lo que hace una solución SIEM, pero no aparecerán cuando busque en Google «mejor solución SIEM 2024». Otro desafío es demostrar a los reguladores para fines de cumplimiento que, aunque lo que usa para SIEM se llama plataforma SOC, es una solución SIEM. Entonces sí, creo que agregar adjetivos antes de la palabra «SIEM» es un ejercicio inútil que crea más confusión en lugar de diferenciar un producto. Pero hay más. SIEM y operaciones de seguridad Al evaluar soluciones, es importante decidir si necesita un «solo SIEM» o una herramienta unificada para automatizar su centro de operaciones de seguridad. Creo que deberíamos mantener SIEM como un término independiente que se centre predominantemente en hacer lo que dice el nombre: gestión de información y eventos. SIEM en sí puede ser parte de una plataforma de operaciones de seguridad más amplia junto con tecnologías como XDR, SOAR, UEBA y ASM. Sin embargo, por las mismas razones proporcionadas anteriormente, no deberíamos seguir llamando a estas soluciones convergentes «SIEM». Por esta razón, he ajustado los informes de operaciones de seguridad en los que he estado trabajando, a saber, el Radar SIEM y el Radar SOC autónomo. SIEM se centra en evaluar las capacidades de las herramientas con respecto a la gestión de la información. Todavía estamos incluyendo aspectos adicionales como la automatización y el análisis, pero siguen centrados en el alcance principal en lugar de ramificarse a capacidades completas de UEBA o SOAR. El SOC autónomo, por otro lado, ahora es un enfoque más independiente en comparación con su alcance SIEM + SOAR anterior. Evalúa las capacidades que requiere un centro de operaciones de seguridad para gestionar y automatizar sus actividades diarias. Se centra menos en el cumplimiento y más en la respuesta, la orquestación y la supervisión de los usuarios. Próximos pasos Para obtener más información, consulte los informes de criterios clave y radar de SIEM de GigaOm. Estos informes proporcionan una descripción general completa del mercado, describen los criterios que querrá considerar en una decisión de compra y evalúan el desempeño de varios proveedores en relación con esos criterios de decisión. Criterios clave de GigaOm para evaluar soluciones SIEM Radar de GigaOm para SIEM Si aún no es suscriptor de GigaOm, puede acceder a la investigación mediante una prueba gratuita. La publicación ¿Por qué no es suficiente «solo SIEM»? apareció primero en Gigaom.