Monitorització i Resposta a Incidents (SIEM)
ALMC - Ciberseguretat
Monitorització i Resposta a Incidents (SIEM)
Visibilitat 360°, detecció avançada i resposta automatitzada amb govern i mètriques clares.
Volver a Ciberseguretat
Visió general
Centralitzem, normalitzem i correlacionem esdeveniments de seguretat per convertir soroll en senyals accionables. Deteccions per regles, comportament (UEBA) i amenaces conegudes, alineades amb MITRE ATT&CK. Intel·ligència d’amenaces i context d’actius/identitats per prioritzar per risc i activar resposta automatitzada (SOAR) amb govern i mètriques clares.
Fonts: endpoints/EDR, firewalls/WAF, proxies i DNS, passarel·les de correu, Active Directory/IDP, núvols (AWS CloudTrail/GuardDuty, Azure Activity/Defender, Google Audit/Chronicle), Kubernetes i contenidors, SaaS crítics (M365, GWS), bases de dades i aplicacions via agents o OpenTelemetry. Validem cobertura, qualitat i retenció.
Telemetria enriquida amb hostname, usuari, IP, geo, etiquetes d’actiu, nivells d’autenticació i criticitat. Marques de temps normalitzades, IDs de correlació, línies base i detecció d’anomalies. Mètriques de salut d’ingesta per evitar buits.
Alertat intel·ligent amb severitats, deduplicació, supressió per manteniment i dependències. Cada alerta enllaça a runbook, evidències, gràfic temporal i acció (aïllar host, blocar IOC, deshabilitar usuari, ticket automàtic). Informes programats per direcció i auditories.
Resposta a incidents
P1
Compromís crític: contenció immediata (aïllar host, blocar IP/DOM, revocar claus), pont de coordinació i comunicació executiva.
P2
Risc mitjà: mitigació ràpida, anàlisi de causa arrel, eradicació, hardening i verificació de tancament.
Post-mortem
Informe sense culpa, lliçons apreses, millores de detecció/regles/arquitectura i actualització de playbooks.
Evidències preservades: línia temporal, artefactes, hash/IOC, decisions i temps (MTTD/MTTR) per a auditoria i compliment.
Automatització SOAR
Contenció en minuts amb control, traçabilitat i reversió segura.
Capacitats clau
Connectors cloud, syslog segur, agents i OpenTelemetry. Esquema comú, enriquiment de context i validació de qualitat.
Regles alineades amb MITRE ATT&CK, comportament (UEBA) i models d’anomalies. Menys soroll, més precisió.
Enriquiment amb feeds IOC, reputació i TTP. Correlació històrica i scoring de risc per priorització.
Accions automatitzades i assistides, aprovacions, condicions i rollback segur. Catàleg versionat i auditable.
Gestió de casos, línia temporal, adjunts, cadena de custòdia i col·laboració. Integració amb ITSM.
Polítiques de retenció (≥365d), xifratge, control d’accessos i traçabilitat per auditories (ISO 27001, GDPR i equivalents).
Logs de núvol, Kubernetes, CI/CD i repos. Alertes per desviacions de configuració i secrets exposats.
Quadres de salut, backlog, SLO/SLI, mètriques de fals positius/negatius i capacitat d’ingesta. Informes executius mensuals.
KPI operatius
| Mètrica | Objectiu | Actual | Comentari |
|---|---|---|---|
| Cobertura de fonts | >= 90% | 95% | Actius crítics primer |
| Falsos positius | <= 5% | 3.1% | Millores de regles/UEBA |
| MTTD | <= 60s | 28s | Monitoratge en temps real |
| MTTR | <= 15m | 9m | Playbooks SOAR eficients |
| Incidents continguts < 5m | >= 80% | 84% | Accions automàtiques |
| Retenció de logs | >= 365d | 400d | Compliment i auditoria |
Resum
Del soroll a les senyals: un SIEM amb SOAR que redueix falsos positius, prioritza per risc i automatitza la contenció. MTTD/MTTR en minuts i compliment garantit amb transparència de cap a cap.
Vols un check ràpid de seguretat? Fem un gap assessment de cobertura, regles i playbooks en 2 setmanes.