Dada la necesidad generada a través del Esquema Nacional de Seguridad, se impone la necesidad de implantar un sistema de gestión de información y eventos de seguridad. De esta manera las empresas dispondrán de un método efectivo para automatizar sus procesos y centralizar la gestión de seguridad de una forma que ayude a simplificar la difícil tarea de proteger la información que se maneja y el servicio que se presta. Todo esto unido a la sofisticación de los ataques que las redes informáticas y de comunicaciones sufren actualmente, requieren más que dispositivos que filtran el tráfico en función de reglas conocidas o de sus origen y destino; requieren una solución de vigilancia más concreta que pueda analizar los eventos de seguridad en las mismas.
Puesto que surgía la necesidad, en ilke Benson nos pusimos a investigar una solución SIEM que se adaptara a las necesidades actuales de los clientes con los que trabaja. Y esta solución se basa en ELK (Elasticsearch, Logstash, Kibana) + Zeek IDS, por centrar la vigilancia en la red de comunicaciones. Nos centramos en Zeek por disponer de personal con experiencia con esta herramienta, aunque en el laboratorio estamos organizando la implementación con Suricata y OSSEC (Wazuh) para ampliar opciones. El despliegue del sistema se realiza con proceso de mirroring de la red (usando, en nuestro caso pfSense como router y/o firewall) para duplicar el tráfico y filtrarlo con Zeek.