����������������������������������������������������������������������������������

 

 

An�lisis del rendimiento de soluciones SIEM de c�digo abierto�

 

Open Source SIEM Solutions Performance Analysis

 

An�lise de desempenho de solu��es SIEM de c�digo aberto

 

 

 

 

 

 

 

 

 

 

 

 

 

Correspondencia: fausto.orozcol@ug.edu.ec

 

 

Ciencias T�cnicas y Aplicadas

Art�culo de Investigaci�n

 

 

* Recibido: 27 de noviembre de 2024 *Aceptado: 20 de diciembre de 2024 * Publicado: �23 de enero de 2025

 

        I.            Universidad de Guayaquil, Guayaquil, Ecuador.

      II.            Universidad de Guayaquil, Guayaquil, Ecuador.

   III.            Universidad de Guayaquil, Guayaquil, Ecuador.

   IV.            Universidad de Guayaquil, Guayaquil, Ecuador.

 

Resumen

Este articulo surge como producto final del trabajo de titulaci�n que tiene como tema An�lisis del rendimiento de soluciones SIEM de c�digo abierto para la detecci�n y respuesta automatizada a amenazas cibern�ticas el objetivo de la investigaci�n es de evaluar el rendimiento de diversas soluciones SIEM de c�digo abierto, dichas herramientas est�n dise�adas para detectar y responder de manera automatizada ante ataques cibern�ticos. El estudio se llev� a cabo mediante ambientes controlados simulando los ataques cibern�ticos m�s comunes con la finalidad de evaluar y analizar m�tricas clave como, tasa de detecci�n, tiempo de respuesta, tasa de falsos positivos y tasa de respuestas automatizadas. Mediante dichas simulaciones controladas se logr� reconocer las capacidades de estas soluciones para centralizar la seguridad, vincular eventos y automatizar respuestas de forma eficaz.

Los hallazgos no solo corroboraron la efectividad de las soluciones SIEM de c�digo abierto, sino que tambi�n evidenciaron su capacidad para cambiar el modo en que las entidades abordan las amenazas cibern�ticas. Estas herramientas se muestran como una soluci�n eficiente, accesible y potente frente a los retos de la era digital actual, proporcionando una protecci�n robusta y flexible ante escenarios de riesgos cada vez m�s complicados. Este trabajo no solo propone un estudio t�cnico, sino que tambi�n aspira a motivar la implementaci�n de tecnolog�as que fortalezcan a las organizaciones en su batalla contra los ciberataques y los ciberdelincuentes.

Palabras clave: SIEM; detecci�n; respuesta automatizada; ciberseguridad.

 

Abstract

This article arises as a final product of the thesis work on the topic of Analysis of the performance of open source SIEM solutions for the detection and automated response to cyber threats. The objective of the research is to evaluate the performance of various open source SIEM solutions, these tools are designed to detect and respond automatically to cyber attacks. The study was carried out through controlled environments simulating the most common cyber attacks in order to evaluate and analyze key metrics such as detection rate, response time, false positive rate and automated response rate. Through these controlled simulations, it was possible to recognize the capabilities of these solutions to centralize security, link events and automate responses effectively.

The findings not only corroborated the effectiveness of open source SIEM solutions, but also demonstrated their ability to change the way entities address cyber threats. These tools are presented as an efficient, accessible and powerful solution to the challenges of the current digital era, providing robust and flexible protection against increasingly complicated risk scenarios. This work not only proposes a technical study, but also aims to motivate the implementation of technologies that strengthen organizations in their battle against cyberattacks and cybercriminals.

Keywords: SIEM; detection; automated response; cybersecurity.

 

Resumo

Este artigo surge como produto final do trabalho de tese que tem como tema An�lise do desempenho de solu��es SIEM de c�digo aberto para dete��o e resposta automatizada a ciberamea�as O objetivo da investiga��o � avaliar o desempenho de v�rias solu��es SIEM de c�digo aberto, Estas ferramentas s�o concebidas para detetar e responder automaticamente a ataques cibern�ticos. O estudo foi realizado utilizando ambientes controlados simulando os ciberataques mais comuns para avaliar e analisar m�tricas importantes, como a taxa de dete��o, o tempo de resposta, a taxa de falsos positivos e a taxa de resposta automatizada. Atrav�s destas simula��es controladas, foi poss�vel reconhecer as capacidades destas solu��es para centralizar a seguran�a, ligar eventos e automatizar respostas de forma eficaz.

As descobertas n�o s� corroboraram a efic�cia das solu��es SIEM de c�digo aberto, como tamb�m demonstraram a sua capacidade de mudar a forma como as organiza��es lidam com as ciberamea�as. Estas ferramentas apresentam-se como uma solu��o eficiente, acess�vel e poderosa para os desafios da atual era digital, proporcionando uma prote��o robusta e flex�vel contra cen�rios de risco cada vez mais complicados. Este trabalho n�o prop�e apenas um estudo t�cnico, mas tamb�m visa motivar a implementa��o de tecnologias que fortale�am as organiza��es no combate aos ciberataques e aos cibercriminosos.

Palavras-chave: SIEM; detec��o; resposta automatizada; ciberseguran�a.

 

Introducci�n

Una amenaza cibern�tica representa un riesgo cr�tico que compromete sistemas y datos, afectando directamente a personas y organizaciones. Se ha registrado un aumento alarmante en los informes sobre incidentes cibern�ticos, evidenciando un creciente n�mero de cuentas comprometidas y los devastadores impactos en la reputaci�n de las organizaciones, comprometiendo uno de los activos digitales m�s valiosos: la informaci�n.

Seg�n IBM (2024) en su informe anual sobre el costo de las brechas en la seguridad de la informaci�n, la vulneraci�n de datos aumento su costo en un 10% con respecto al a�o anterior alcanzando los 4,88 millones de d�lares en p�rdidas, debido a este panorama las organizaciones se enfrentan a la necesidad de buscar soluciones efectivas a mediano y largo plazo con respecto a la protecci�n de su informaci�n.

Seg�n Check Point Software (s. f.) entre los principales tipos de amenazas de ciberseguridad a las que se enfrentan las organizaciones se destacan el malware, la ingeniera social, los exploits de aplicaciones web, los ataques a la cadena de suministro, los ataques DoS (denegaci�n de servicios) y los ataques de intermediario (men in the middle).

Merello Cruz y Hidalgo Ram�rez (2019) indican que �una amenaza se la puede considerar como un incidente de alto peligro y que se vale de una vulnerabilidad del sistema o activo de informaci�n para ocasionar da�os graves a la organizaci�n� (p�g. 96), por lo tanto, se puede afirmar que las amenazas representan un factor cr�tico en la gesti�n de la seguridad de la informaci�n dentro de las organizaciones. Este escenario ha llevado a las organizaciones a buscar soluciones robustas, confiables y eficaces que les permitan mitigar y responder oportunamente a estas amenazas.

Ante estos desaf�os, las organizaciones han comenzado a adoptar herramientas avanzadas de seguridad como las soluciones SIEM (Gesti�n de Informaci�n y Eventos de Seguridad, por sus siglas en ingl�s) para mitigar los riesgos asociados a las brechas de seguridad. Un SIEM permite recopilar, analizar y gestionar los datos de seguridad generados por sistemas y aplicaciones en tiempo real. Estas herramientas no solo ayudan a detectar y responder de manera eficaz a los incidentes de seguridad, sino que tambi�n proporcionan un control centralizado y una correlaci�n automatizada de eventos, posicion�ndose como una soluci�n integral frente a las amenazas cibern�ticas.

Pino Medina (2021) especifica que cualquier proceso llevado a cabo por una m�quina puede considerarse automatizaci�n, esto incluye tambi�n el uso de m�quinas para operar herramientas de seguridad y sistemas de TI como parte de la "respuesta a incidentes". En este sentido, los SIEM no solo automatizan la recolecci�n y an�lisis de eventos, sino que tambi�n facilitan la respuesta a incidentes, lo que mejora la eficiencia y reduce los tiempos de reacci�n ante posibles amenazas.

Como menciona Nacimba Loacham�n (2023) existen diversas recomendaciones y mejores pr�cticas, como firewalls y sistemas de prevenci�n, para mitigar amenazas cibern�ticas, sin embargo, presentan desaf�os importantes, como la gesti�n de m�ltiples interfaces, la acumulaci�n masiva de registros de eventos que a menudo no son analizados de manera eficiente y la falta de personal capacitado para gestionar estos sistemas. Es por ello que las soluciones SIEM han surgido como herramientas esenciales para superar estos desaf�os al centralizar y correlacionar eventos de seguridad en una plataforma �nica.

Quintero Mart�nez y Tovar Balderas (2019) describen a los SIEM como sistemas que recopilan datos de eventos de diversos dispositivos y, al correlacionar esta informaci�n, emiten alertas y generan informes que ayudan a las organizaciones a tomar decisiones informadas para proteger la confidencialidad, integridad y disponibilidad de sus datos.

Este trabajo se centrar� en la evaluaci�n de soluciones SIEM de c�digo abierto, espec�ficamente enfoc�ndose en el an�lisis de rendimiento para la detecci�n y respuesta automatizada ante amenazas cibern�ticas. Se analizar�n herramientas SIEM de c�digo abierto, las cuales ser�n evaluadas en entornos simulados de ataques cibern�ticos para medir su efectividad en la detecci�n de amenazas y la automatizaci�n de las respuestas. Se incluir�n simulaciones de diversos tipos de ataques, como fuerza bruta, malware y ataques de DoS. Adem�s, se configurar� un entorno de prueba controlado en una m�quina virtual para llevar a cabo estas simulaciones.

 

Metodolog�a

Dentro de lo que es la ciberseguridad el an�lisis de las soluciones SIEM requiere un enfoque detallado y bien estructurado. El presente estudio se centra en la evaluaci�n pr�ctica de soluciones SIEM de c�digo abierto, con el prop�sito de analizar su efectividad en la detecci�n y respuesta automatizada a amenazas cibern�ticas en entornos simulados. El objetivo es no solo generar y contribuir al conocimiento te�rico, sino tambi�n aplicarlo en situaciones pr�cticas simuladas, realizando pruebas de ataques y situaciones de amenazas similares a las que las organizaciones enfrentan en condiciones cotidianas. Dado que el objetivo principal es analizar el rendimiento de estas soluciones, se ha adoptado un enfoque cuantitativo. En esta fase cuantitativa, se medir�n y comparar�n la eficiencia de distintas herramientas de c�digo abierto mediante indicadores como la tasa de detecci�n, el tiempo de respuesta, la tasa de falsos positivos y la tasa de respuestas automatizadas, como se visualiza en la Tabla 1.

Tabla 1. M�tricas para evaluar el rendimiento de un SIEM

 

A continuaci�n, se presenta el procedimiento de la investigaci�n que consisti� en crear un entorno simulado que permitiera evaluar el rendimiento de las soluciones SIEM.

Fase 1: Implementaci�n de ambiente controlado

Para llevar a cabo este an�lisis se dise�� un entorno controlado utilizando VirtualBox donde se instalaron varias m�quinas virtuales, este entorno simula una infraestructura empresarial que incluye servidores de correo, archivos, bases de datos, y la m�quina destinada a funcionar como el servidor SIEM. Adem�s, se incorporaron dos estaciones de trabajo, una telefon�a IP y una m�quina que tiene como sistema operativo Kali Linux el cual va a simular los ataques cibern�ticos. Para simular y gestionar de manera efectiva esta red interna se utiliz� GNS3, lo que permiti� enlazar todas las m�quinas virtuales en una red segura y estable, como se visualiza en figura 1.

Figura 1. Desarrollo GNS3

 

Fase 2: Configuraci�n de dispositivos virtuales en GNS3 para enrutamiento entre VLANs y acceso a internet

Se configuran subinterfaces en el router con encapsulaci�n dot1Q para el enrutamiento entre VLANs, cada subinterfaz representa una VLAN espec�fica y se le ha asignado una direcci�n IP: VLAN 10 (SIEM) con 192.168.10.1, VLAN 20 (Servidores) con 192.168.20.1, VLAN 30 (Estaciones de trabajo) con 192.168.30.1, y VLAN 40 (Telefon�a) con 192.168.40.1. En el switch, se crean las VLANs correspondientes y se asignan a los puertos en modo acceso. Se configura un puerto trunk con el protocolo dot1Q para permitir la comunicaci�n entre VLANs y se habilita Rapid PVST para garantizar una convergencia r�pida y evitar bucles, manteniendo una topolog�a estable.

Para la configuraci�n de NAT, se ajusta la interfaz externa del router para que obtenga una direcci�n IP autom�ticamente mediante DHCP. El NAT din�mico se configura con una lista de acceso que permite el tr�fico de las subredes de las VLANs y la opci�n overload para compartir una IP p�blica entre varios dispositivos internos. Las subinterfaces correspondientes a las VLANs se marcan como "inside", mientras que la interfaz externa se marca como "outside". Finalmente, se a�ade una ruta por defecto para dirigir el tr�fico desconocido a Internet, tal como se visualiza en la figura 2.

Figura 2. Configuraci�n de NAT en el router

 

Fase 3: Instalaci�n y Configuraci�n de Servicios de Infraestructura en el Proyecto de Simulaci�n

El proceso de instalaci�n y configuraci�n de servicios en la simulaci�n comenz� con la implementaci�n de un servidor web Apache sobre Ubuntu, donde se comprob� su correcto funcionamiento creando una p�gina web de prueba. Luego, se instal� y configur� MySQL para gestionar bases de datos, con acceso seguro mediante usuario y contrase�a, y se utiliz� phpMyAdmin para facilitar su administraci�n, tal como se visualiza en la figura 3.

 

Figura 3. Vista de la base de datos en phpMyAdmin

 

En el servidor de archivos, se configur� Samba para compartir carpetas por departamento, implementando control de acceso mediante permisos espec�ficos. Tambi�n se configur� un servidor de correo utilizando Postfix, Dovecot y SquirrelMail, creando cuentas de usuario para gestionar el env�o y recepci�n de correos electr�nicos. Luego, se instal� y configur� el sistema de telefon�a IP Issabel PBX, donde se gestionaron extensiones y se habilit� la grabaci�n de llamadas para asegurar el registro de comunicaciones dentro de la red telef�nica, tal como se visualiza en la figura 4.

 

Figura 4. Opciones para habilitar o deshabilitar la grabaci�n de llamadas en Issabel

 

Por �ltimo, se instal� Kali Linux en una m�quina virtual para simular ataques cibern�ticos, dada su eficacia en pruebas de penetraci�n. La instalaci�n fue sencilla, configurando solo opciones b�sicas como idioma y zona horaria. Con Kali Linux listo, se prepararon las herramientas necesarias para ejecutar un ataque, simulando as� los intentos de un atacante por vulnerar la red, tal como se visualiza en la figura 5.

Figura 5. Pantalla de inicio de Kali Linux

 

Fase 4: Instalaci�n y configuraci�n de SIEM

Opci�n 1: AlienVault OSSIM

Se instal� el SIEM AlienVault OSSIM versi�n 5.8.11 en VirtualBox con Debian x64. Durante la instalaci�n, se configur� la subred (192.168.10.150/24), el reloj y el usuario root. Posteriormente, se reinici� la m�quina. Para gestionar los logs de dispositivos finales, se configur� un sensor con OSSIM en la direcci�n IP 192.168.10.151. En la interfaz web de OSSIM, se crearon cuentas para agregar dispositivos mediante escaneo, permitiendo visualizar detalles como hostname, IP, tipo de dispositivo, sistema operativo y estado de los sistemas de detecci�n de intrusiones, tal como se visualiza en la figura 6.

 

Figura 6. Dashboard de OSSIM con los agentes disponibles para monitoreo

Simulaci�n de Ataques y Respuestas Automatizadas en OSSIM

Se simularon varios tipos de ataques utilizando Kali Linux, comenzando con un escaneo de puertos con Nmap, que fue reconocido por OSSIM al detectar intentos de escanear puertos SSH. Posteriormente, se realiz� un ataque de fuerza bruta con Hydra, lo que gener� alertas en OSSIM detallando los intentos de acceso no autorizado. Para evaluar vulnerabilidades, se utiliz� Nikto, revelando configuraciones inseguras en el servidor y activando alertas de explotaci�n. Se simul� tambi�n un ataque DoS con Slowloris y explotaci�n de directorios con Gobuster, ambos detectados por OSSIM, tal como se visualiza en la figura 7.

 

Figura 7. Eventos generados en OSSIM

 

Adem�s, se implementaron respuestas automatizadas para mejorar la eficiencia en la gesti�n de incidentes, como la creaci�n autom�tica de tickets y un script para bloquear IPs comprometidas, lo cual fue confirmado mediante la interfaz de OSSIM. Esto optimiz� la respuesta ante eventos de seguridad y mejor� la administraci�n de incidentes, tal como se visualiza en la figura 8.

 

Figura 8. Comprobaci�n de las acciones creadas

Opci�n 2: Wazuh SIEM

La instalaci�n del SIEM Wazuh versi�n 4.9.2 fue directa y eficiente, siguiendo la documentaci�n oficial y comandos en Red Hat Enterprise Linux 8.8. Despu�s de completar la instalaci�n inicial, se procedi� a agregar agentes a trav�s de la interfaz de Wazuh, seleccionando el sistema operativo correspondiente. Los comandos generados para instalar los agentes fueron ejecutados en las m�quinas objetivo y al finalizar se verific� que los agentes estuvieran registrados correctamente en la plataforma, confirmando su funcionamiento adecuado en el sistema de monitoreo, tal como se visualiza en la figura 9.

 

Figura 9. Panel de control con los agentes instalados

 

Simulaci�n de Ataques y An�lisis de Eventos Detectados en Wazuh

Para evaluar la capacidad de detecci�n de Wazuh, se simularon varios ataques y acciones no autorizadas. Primero, se intent� detener y reiniciar el servicio del agente Wazuh, lo que gener� alertas cr�ticas. Luego, se realiz� un intento de explotaci�n de vulnerabilidades utilizando SSH y un ataque de fuerza bruta con Hydra, ambos detectados por Wazuh, quien gener� alertas en tiempo real. Tambi�n se llev� a cabo un escaneo de vulnerabilidades con Nikto, lo cual fue registrado por Wazuh asoci�ndolo con la t�cnica MITRE ATT&CK. Adem�s, se simul� un ataque con malware usando msfvenom, y Wazuh detect� la ejecuci�n de un archivo malicioso, generando alertas correspondientes. Finalmente, se configur� un firewall para bloquear accesos no autorizados, lo que activ� alertas de respuesta autom�tica en Wazuh. Todos los eventos fueron registrados en tiempo real, lo que permiti� monitorear la efectividad de Wazuh en la detecci�n y respuesta ante diversas amenazas, tal como se visualiza en la figura 10.

Figura 10. Detecci�n de IP maliciosa, bloqueo de host y anomal�a en ServidorWeb

 

Opci�n 3: SIEM Splunk �

Se instal� Splunk en un entorno de prueba utilizando el comando oficial para descargar la versi�n 9.4.0 de Splunk para Linux. Aunque Splunk no ofrece el c�digo fuente completo, se utiliz� el componente de c�digo abierto Splunk Universal Forwarder para la recopilaci�n y env�o de datos desde diversas fuentes hacia la instancia central de Splunk. La interfaz web de Splunk proporciona herramientas avanzadas para visualizar los datos de manera eficiente, incluyendo gr�ficos y alertas en tiempo real. Adem�s, se configur� el Splunk Universal Forwarder para enviar logs y eventos a la instancia centralizada de Splunk, permitiendo realizar b�squedas detalladas y obtener informaci�n valiosa para el an�lisis de seguridad y gesti�n de incidentes, tal como se visualiza en la figura 11.

 

Figura 11. Visualizaci�n de datos recolectados por el Splunk Forwarder

 

 

 

Simulaci�n de Ataques y Detecci�n de Eventos en Splunk

Se simularon varios ataques para evaluar la capacidad de detecci�n de Splunk. El primer ataque consisti� en detener el servicio del Splunk Universal Forwarder, lo que gener� alertas sobre la p�rdida de conexi�n y fallos en la recopilaci�n de datos. Posteriormente, se realiz� un ataque SSH mediante intentos de acceso no autorizado, lo que fue detectado en tiempo real a trav�s de intentos fallidos de autenticaci�n en los logs del servidor. Tambi�n se ejecut� un escaneo de vulnerabilidades con Nikto, lo que gener� registros detallados sobre las solicitudes y respuestas del servidor web. Finalmente, se simul� un ataque de malware que implic� la creaci�n de un usuario no autorizado y la modificaci�n de configuraciones del sistema, detectado por Splunk gracias a su monitoreo de actividades sospechosas, tal como se visualiza en la figura 12.

 

Figura 12. Visualizaci�n de los resultados del escaneo Nikto en Splunk

 

Resultados y discusi�n

Para evaluar el rendimiento de las soluciones SIEM analizadas, se utilizaron m�tricas clave que permiten medir la eficiencia en la tasa de detecci�n, tiempo de respuesta, tasa de falso positivos y tasa de respuestas automatizadas. Estas m�tricas calculadas a partir de los datos recopilados durante las simulaciones en un entorno controlado, proporcionan un an�lisis cuantitativo que respalda las conclusiones del estudio, tal como se visualiza en tabla 2.

 

 

 

 

Tabla 2. Comparativa del Rendimiento de Soluciones SIEM

 

Bas�ndose en los resultados obtenidos, podemos deducir que Wazuh es el mejor SIEM en t�rminos de rapidez de detecci�n y respuesta, destac�ndose tambi�n por su alta tasa de automatizaci�n y su baja tasa de falsos positivos. Por otro lado, AlienVault OSSIM es una opci�n igualmente v�lida, aunque su tiempo de respuesta es ligeramente m�s lento en comparaci�n con Wazuh. En cuanto a Splunk, aunque presenta un buen rendimiento en algunos aspectos, queda rezagado debido a su menor tasa de detecci�n, una mayor tasa de falsos positivos y la falta de automatizaci�n en las respuestas.

Investigaciones anteriores

Los resultados obtenidos en esta investigaci�n han sido respaldados por diversos estudios previos, lo que refuerza la validez de nuestros hallazgos. Esto respalda las conclusiones obtenidas en investigaciones previas como el trabajo de G�lvez Soriano (2024), que tambi�n subraya la importancia de Wazuh en la mejora de la visibilidad y el control en tiempo real de la infraestructura tecnol�gica.

En cuanto al trabajo de Herrera (2024), su estudio resalta la importancia de personalizar las configuraciones de los SIEMs de acuerdo con las amenazas espec�ficas a las que se enfrenta cada organizaci�n. Su estudio se centra en la implementaci�n de un SIEM para la defensa activa frente a intrusiones en la red, un enfoque que resulta tambi�n clave para nuestra investigaci�n. Este enfoque resalta la necesidad de que las organizaciones adapten tanto las reglas como las herramientas de seguridad a sus circunstancias particulares, con el fin de mejorar la efectividad del monitoreo y la respuesta ante incidentes.

Por otro lado, el trabajo de Morales Morera y Sanabria Echeverr�a (2020) enfatiza la falta de gu�as estandarizadas y la capacitaci�n adecuada, lo que limita la capacidad de respuesta ante incidentes de seguridad, un desaf�o que tambi�n hemos identificado en nuestra investigaci�n. En nuestro estudio, hemos implementado un proceso estructurado para optimizar las reglas de correlaci�n y mejorar la capacidad de detecci�n de amenazas, siguiendo un enfoque similar al propuesto por estos autores.

Asimismo, el modelo utilizado por Agudelo Castro et al. (2022) para la creaci�n de los casos de uso proporciona una base s�lida para definir m�tricas de evaluaci�n de las soluciones SIEM. Este modelo detalla los par�metros esenciales para cada caso de uso como el objetivo, alcance, fuentes de eventos, flujo l�gico, notificaci�n y severidad, lo que contribuye a la formulaci�n de m�tricas espec�ficas para evaluar el rendimiento de las herramientas SIEM en nuestro estudio. Este trabajo refuerza la importancia de personalizar las soluciones SIEM de acuerdo a las necesidades particulares de cada entorno, y c�mo las mejores pr�cticas y modelos utilizados en investigaciones previas pueden servir como gu�a para optimizar la implementaci�n de estas herramientas en la detecci�n y respuesta ante amenazas cibern�ticas.

 

Conclusiones

�         El resultado del estudio nos permiti� identificar las fortalezas y debilidades espec�ficas de cada herramienta con lo que respecta a las m�tricas definidas y mencionadas con anterioridad. En la tasa de detecci�n, OSSIM y Wazuh demostraron una efectividad del 100% en comparaci�n con Splunk que demostr� una efectividad del 90%, aunque con una ligera diferencia en relaci�n con las otras herramientas, a�n demostr� un excelente desempe�o.

�         En la evaluaci�n del tiempo de respuesta, Wazuh se destaca con un promedio de respuesta notablemente inferior a 6 segundos, posicion�ndose como la herramienta m�s r�pida para manejar incidentes. OSSIM, con un tiempo de 18 segundos, y Splunk, con 13. 33 segundos, tienen tiempos de respuesta m�s prolongados en comparaci�n con la anterior. Recordando que un tiempo de respuesta m�s corto es crucial al momento de mitigar los impactos de una brecha de seguridad.

�         OSSIM y Wazuh alcanzaron una tasa de falsos positivos del 10%, demostrando una capacidad adecuada para reducir alertas innecesarias y mejorar el an�lisis de amenazas.

�         Se puede afirmar que Wazuh se posiciona como la soluci�n m�s equilibrada, sobresaliendo en la rapidez de respuesta y manteniendo altos �ndices de detecci�n, con una baja tasa de falsos positivos y una completa automatizaci�n.

 

Referencias

1.      IBM. (2024). Cost of a Data Breach Report 2024. No. 19a edici�n. https://www.ibm.com/downloads/documents/us-en/107a02e94948f4ec

2.      Check Point Software. (s. f.). Las 6 principales amenazas a la ciberseguridad. Check Point Software. Recuperado 26 de octubre de 2024, de https://www.checkpoint.com/es/cyber-hub/cyber-security/what-is-cybersecurity/top-6-cybersecurity-threats/

3.      Merello Cruz, C., & Hidalgo Ram�rez, D. (2019). An�lisis de riesgos tecnol�gicos para la plataforma inform�tica de un hospital del sector p�blico de la ciudad de Guayaquil [Universidad de Guayaquil]. https://repositorio.ug.edu.ec/server/api/core/bitstreams/9da986cd-991a-4b59-9b64-a03908880b9a/content

4.      Pino Medina, A. (2021). Plataformas SOAR. Respuesta orquestada y automatizada de la seguridad [Tesis de maestr�a, Universitat Oberta de Catalunya].: http://hdl.handle.net/10609/132128

5.      Nacimba Loacham�n, P. F. (2023). An�lisis comparativo de plataformas de SIEM y las soluciones de detecci�n y respuesta extendida [Tesis de maestr�a, Universidad de Israel]. http://repositorio.uisrael.edu.ec/handle/47000/3558

6.      Quintero Mart�nez, M. I., & Tovar Balderas, S. A. (2019). Sistema de Gesti�n de Informaci�n y Eventos de Seguridad (SIEM). TIES, Revista de Tecnolog�a e Innovaci�n en Educaci�n Superior, 2, 9. https://doi.org/10.22201/dgtic.26832968e.2019.2.3

7.      G�lvez Soriano, P. (2024). Despliegue e implantaci�n de un SIEM con Wazuh [Universidad Polit�cnica de Catalunya]. http://hdl.handle.net/2117/418178

8.      Herrera, D. (2024). Implementaci�n de un SIEM para la defensa activa ante un ataque de denegaci�n de servicio. http://bibdigital.epn.edu.ec/handle/15000/25842

9.      Morales Morera, R., & Sanabria Echeverr�a, E. (2020). Casos de uso resilientes SIEM. Universidad Cenfotec.

10.  Agudelo Castro, B. A., �lvarez Y�pez, D. J., Andrade Valdez, J. A., & Escobar Tucta, J. M. (2022). Elaboraci�n de 5 Casos de Uso para Plataforma SIEM Institucional en el Sector Financiero a ser implementado por la empresa de Seguridad Inform�tica Secure Soft [Tesis de maestr�a, Universidad Internacional del Ecuador]. https://repositorio.uide.edu.ec/handle/37000/5610

 

 

 

 

 

 

 

 

 

� 2025 por los autores. Este art�culo es de acceso abierto y distribuido seg�n los t�rminos y condiciones de la licencia Creative Commons Atribuci�n-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0)

(https://creativecommons.org/licenses/by-nc-sa/4.0/).