Unidad 3.

Capa de almacenamiento

I. Introducción y objetivos

II. Arquitecturas y características físicas

III. Características del almacenamiento SIEM

IV. Fabricantes y soluciones alternativas

V. Cumplimiento de normativa

VI. Resumen

VII. Caso práctico con solución

VIII. Lecturas recomendadas

IX. Enlaces de interés

X. Glosario

XI. Bibliografía
Lección 1 de 11

I. Introducción y objetivos

1.1. Introducción unidad

Teniendo en cuenta las características y aplicaciones de un SIEM, tratándose de un dispositivo que

almacena una gran cantidad de información, la capa de almacenamiento es uno de los puntos más críticos
de estos sistemas. 

Dado este grado de criticidad, se deben utilizar almacenamientos muy rápidos, y es muy importante la
latencia del sistema a la hora de almacenar la información. 
A lo largo de este capítulo se hablará sobre las posibles arquitecturas de almacenamiento y las
características físicas de los equipos implicados en estas, así como de las principales particularidades que
debe cumplir un SIEM sobre el almacenamiento de logs: 

Almacenamiento.

Centralización.

Retención.

Rotado.

Capacidad de análisis. 

Búsquedas y reportes.

La capa de almacenamiento es la única que puede ser abstraída de la arquitectura del SIEM, es decir, la
capa de almacenamiento no tiene por qué ser propiedad del fabricante del SIEM, sino que se puede utilizar el
almacenamiento deseado siempre y cuando cumpla los requisitos de compatibilidad con el propio SIEM. En
esta unidad se introducirán las soluciones que los principales fabricantes del mercado ponen a disposición
del cliente y, además, posibles soluciones neutrales para el diseño de la capa de almacenamiento. 

Más allá del objetivo principal de esta capa, que es el de almacenar la información con un carácter de larga
duración, el almacenamiento cobra una especial importancia para determinados propietarios, ya que es la
capa que garantiza el acatamiento de ciertas normativas que muchas empresas deben cumplir de cara a
posibles auditorías. 

Gran parte de las empresas propietarias de los SIEM justifican la adquisición de la herramienta no solo como
instrumento para garantizar la seguridad de sus redes, sino también como dispositivo que asegura el
cumplimiento de la normativa vigente aplicable. Para finalizar, en esta unidad se hablará del cumplimiento,
por su importancia y vinculación con esta capa de la arquitectura en un SIEM.

C O NT I NU A R
1.2. Objetivos de la unidad

1 Estudiar las posibles arquitecturas de almacenamiento.

2 Comparar las características físicas de los equipos destinados a almacenamiento.

3 Conocer en detalle las características que debe cumplir un sistema de almacenamiento SIEM
para asegurar la preservación de los logs y la correcta visualización de estos por el personal
autorizado.

4 Conocer los principales fabricantes de tecnologías SIEM, así como la implementación de los
sistemas.

5 Entender las normativas que puede aplicar al cliente final y las implicaciones que conllevan las
políticas de cumplimiento respecto al almacenamiento de datos y su visualización.
Lección 2 de 11

II. Arquitecturas y características físicas

 A continuación, se mostrarán varios tipos de arquitecturas posibles para la capa de

almacenamiento, desde la más básica hasta las que aseguran la continuidad de negocio
o la recuperación ante desastres. Además, se introducirán los tipos de almacenamiento
utilizados para el despliegue de un SIEM.

C O NT I NU A R

2.1. Características físicas

Dado que se está ante máquinas de almacenamiento de larga duración (hasta varios años de información),
un disco con una gran cantidad de espacio donde depositar la información es algo primordial en todo SIEM.
No solo importa el espacio, como ya se ha comentado. Los SIEM son herramientas de consulta proactiva,
especialmente pensados para monitorizar la seguridad de las redes de información, y esta tarea requiere
que un número indeterminado y variante de usuarios trabajen sobre la herramienta realizando consultas
frecuentemente a los datos almacenados. Por todo esto es importante disponer de una memoria RAM y CPU
lo suficientemente potentes como para trabajar de manera eficiente con el gran volumen de información que
manejan estos dispositivos. 

En cuanto al tipo del almacenamiento, puede ser muy variado: appliances físicos con almacenamiento local,
almacenamiento remoto o incluso almacenamiento en entornos virtualizados en la nube. El tipo utilizado
depende, esencialmente, de los requerimientos y del tipo de información que maneja el SIEM. Por ejemplo,
en el caso de bancos o aseguradoras que trabajan con información sensible de terceros, la opción más
común es un almacenamiento local. Por el contrario, si la información que se maneja no tiene un carácter
tan “sensible”, como puede ser información de red, la opción de almacenamiento remoto es también
ampliamente utilizada. Algunos de los tipos más utilizados en el ámbito profesional son los siguientes: 
 Tipo 1

DAS

Figura 1. Cabina de discos del fabricante HP.

Fuente: http://www.infores.es

Por sus siglas en inglés, direct attached storage, almacenamiento de conexión directa. Se trata
del tipo del almacenamiento más tradicional. Un dispositivo de almacenamiento directamente
conectado al SIEM. No es fácilmente escalable. En el ámbito profesional, dadas las necesidades
del SIEM, suele tratarse de una cabina de discos, es decir, agrupaciones de discos donde montar
una RAID con el objetivo de conseguir unidades muy grandes. Se utiliza una controladora para
lograr redundancia a bajo coste, de manera que en el caso de que uno de los discos se estropee
entra en juego un sistema de redundancia previamente configurado (RAID1, RAID5, RAID6…).
 Tipo 2

NAS

Figura 2. Diagrama de un NAS.

Fuente: elaboración propia.

Por sus siglas en inglés, network attached storage, almacenamiento conectado en red. Se trata
de dispositivos de almacenamiento conectados a una red y que permiten el almacenamiento y la
extracción de información desde una ubicación centralizada. Los sistemas NAS son fácilmente
escalables y el acceso a su información se hace a través de protocolos de archivos como CIFS,
NTP o TFTP. El almacenamiento NAS es comparable a tener una “nube” privada en la
infraestructura. 
 Tipo 3

SAN

Figura 3. Diagrama de una SAN.

Fuente: elaboración propia.

Por sus siglas en inglés, storage area network, red de área de almacenamiento. Se trata de una
red íntegramente dedicada al almacenamiento, conectada a la red de datos de la compañía
mediante canales de alta velocidad. 

Es común utilizar un canal de fibra para lograr elevados anchos de banda (por encima de los 100
Mbps), ya que el rendimiento de la SAN está inherentemente relacionado con la red de
comunicación utilizada. La capacidad de este tipo de almacenamiento es prácticamente
ilimitada. Otra de las grandes ventajas de la SAN es que su tráfico está aislado, por lo que no hay
penalización en el rendimiento de la red de datos. 
 Comparativa
La siguiente tabla representa una comparativa de las tres posibles soluciones para el
almacenamiento que se acaban de desarrollar: 

DAS NAS SAN

Tipo de Sistema de
DASSectores. Bloques.
almacenamiento ficheros.

Transmisión de FC-AL, FC-SW,

IDE, SCSI. CIFS, FTP, TFTP.
datos SCSI, FcoE.

Capacidad (bytes) 109. 109-1012. >1012.

Complejidad Sencilla. Moderada. Compleja.

Coste de gestión
Alto. Moderado. Bajo.
(por GB)

Tabla 1. Comparativa de soluciones.

Fuente: elaboración propia.

A continuación, se muestran los requerimientos reales del ELM de McAfee para su despliegue:
 Figura 4. Especificaciones del ELM de McAfee.
Fuente: extraído de www.mcafee.com

C O NT I NU A R

2.2. Arquitecturas
Una vez descritos los tipos de almacenamiento que pueden ser utilizados en un SIEM, el siguiente paso es
pensar en la arquitectura de almacenamiento que se va a utilizar para asegurar la continuidad de negocio en
caso de un problema grave que cause total inoperatividad.

A continuación, se ilustran las arquitecturas más utilizadas y que garantizan la continuidad de negocio. 

Disaster recovery (DR)

Arquitectura de recuperación ante desastres. La idea esencial consiste en tener toda la información
duplicada en un segundo punto de almacenamiento para, llegado el momento, en respuesta a un desastre,
hacerla accesible y poder recuperar el servicio y la arquitectura. 

No solo basta con tener la información duplicada en un segundo punto seguro, sino que es necesario contar
con un plan de recuperación ante desastres, ya que es necesario recuperar el servicio lo antes posible para
reducir al máximo los periodos de inoperatividad definidos en el plan de continuidad de negocio. 

RIESGOS DI A G R A M A A A LT O N I V E L
Algunos de los riesgos que pueden llevar a las empresas a plantearse la implementación de esta
arquitectura pueden ser los siguientes: 

Catástrofes naturales.

Problemas con el suministro eléctrico.

Ataques informáticos.

Terrorismo.

Fallos graves en los equipos.

RIESGOS DI A G R A M A A A LT O N I V E L

Un diagrama a alto nivel de esta arquitectura sería el siguiente: 

Figura 5. Arquitectura DR.

Fuente: elaboración propia.
 C O NT I NU A R

High Availability (HA)

Arquitectura de alta disponibilidad. Se trata de otra arquitectura que asegura la continuidad de negocio y que,
además, dependiendo de su diseño, puede englobar DR. La idea fundamental es replicar el entorno de
almacenamiento y hacerlo simultáneamente accesible para asegurar el correcto funcionamiento incluso en
caso de desastre sin enfrentarse a periodos de inactividad. 

Las dos configuraciones de HA más populares son las siguientes: 

 Configuración 1

HA activo-activo
Toda la información se replica simultáneamente en ambos puntos de almacenamiento y es
accesible en todo momento en ambos entornos. De esta manera, si uno de los entornos falla, el
otro está completamente operativo con toda la información disponible para proporcionar
servicio. 
 Configuración 2

HA activo-pasivo
También llamada arquitectura de failover. En este caso, ambos entornos son accesibles, la
diferencia con el anterior está en que no toda la información se replica en ambos puntos. En este
caso se envía al almacenamiento primario y solo si este falla se comienza a enviar al secundario.
Así, se asegura la continuidad de negocio, puesto que el servicio no se ve interrumpido; no
obstante, en el entorno secundario no se tiene toda la información disponible a no ser que se
despliegue un método de replicación entre puntos de almacenamiento. 
Figura 6. Arquitecturas HA.
Fuente: elaboración propia.
Lección 3 de 11

III. Características del almacenamiento SIEM

En este apartado se describirán las características principales que debe cumplir cualquier SIEM en materia
de almacenamiento de logs. 
 Característica 1

Almacenamiento
Como es obvio, el SIEM ha de ser capaz de almacenar una gran cantidad de información, por lo
que la principal y más inherente característica ha de ser la capacidad de almacenar y conservar la
información gestionada. 
 Característica 2

Centralizado de logs

Figura 7. La agregación, una de las principales características de un SIEM.

Fuente: elaboración propia.

Se trata de una de las características que convierte al SIEM en una herramienta muy práctica en
lo que al manejo de logs se refiere, ya que permite disponer de manera centralizada de los logs de
las diferentes herramientas y equipos conectados a la red del SIEM. Se trata de una característica
que permite cumplir con ciertos requisitos de normativas como PCI DSS, SOX…, ya que por estar
almacenados en estas plataformas se asegura que los logs no pueden ser modificados, que
existe un control de acceso a estos, que están cifrados en algunos casos, etc.
 Característica 3

Agregación

Figura 8. Agregación de eventos con base en un conjunto de campos en ArcSight.

Fuente: elaboración propia.

Una plataforma SIEM es capaz de agregar eventos a lo largo del tiempo para reducir el espacio
ocupado por los eventos ingestados siempre que no se produzca pérdida de información útil en
estos. 
 Característica 4

Integridad
Una de las características imprescindibles en una plataforma SIEM es asegurar que los eventos,
tras su ingesta, no han sido manipulados, garantizando su integridad y veracidad, por lo que se
aplican mecanismos como un hash sobre los almacenamientos lógicos, registrando la fecha de
modificación y asegurando que no han sido manipulados tras su almacenamiento.
 Característica 5

Retención
El límite de la capa de almacenamiento va a estar marcado por la capacidad del propio
almacenamiento físico. Todo propietario de un SIEM ha de dimensionar la capa de
almacenamiento en función del tipo y cantidad de eventos que va a manejar y de los
requerimientos normativos que se han de cumplir, los cuales pueden imponer periodos de
retención de logs desde los seis meses hasta siete años o más. Se pueden distinguir dos tipos de
retención en una plataforma SIEM:

Retención online: cuando la información es accesible sin necesidad de realizar procesos de

recuperación y carga. Por temas operativos, se suele recomendar que la información esté
online entre seis y 12 meses.

Retención offline: cuando la información es solo accesible mediante un proceso de carga y

recuperación. Para el cumplimiento de ciertas políticas se debe asegurar la recuperación en
un tiempo aceptable.

Puesto que existen dos tipos de retención, lo que suele hacerse es particionar el almacenamiento
teniendo una partición para el almacenamiento online y otra para el offline. También es posible
contar con dos tipos de almacenamiento independientes, siendo el almacenamiento online el que
mejores prestaciones ha de tener para asegurar la correcta operativa.
 Característica 6

Rotado
Ligado a la retención, se trata de un mecanismo que ofrece al sistema capacidad de limpieza y
gestión del tiempo de retención. Una vez alcanzado el umbral de rotado definido, el sistema es
capaz de eliminar o mover los logs más antiguos para almacenar los futuros. Se trata de una
característica fundamental para evitar el colapso de los sistemas de almacenamiento, lo que
podría provocar un fallo fatal en el sistema. Dicho sistema de rotado de logs puede
implementarse aplicando un umbral respecto al tiempo o al espacio ocupado en disco.
 Característica 7

Capacidad de análisis
Se trata de la capacidad para hacer consultas sobre los logs almacenados. Dependiendo de sobre
qué logs se realicen consultas, estas serán más o menos rápidas. Si se quiere realizar una
búsqueda sobre logs muy antiguos es posible que haya que cargar estos desde el
almacenamiento offline para indexarlos de nuevo y poder lanzar la consulta. 

La capacidad de búsqueda depende de cada SIEM. Algunos ejemplos de fabricantes son los
siguientes:

Intel Security: permite una búsqueda sobre la información en RAW, siendo, por tanto, la
capacidad bastante limitada. 

Splunk: soporta búsquedas de información normalizada y sobre el evento en crudo,

presentando la información almacenada de diversas formas. 
 Característica 8

Búsquedas e informes
Ligada a la característica anterior de análisis, todo SIEM ha de tener un motor de reporting que
permita extraer los logs en un informe configurado según la necesidad. Esta característica
permite obtener evidencias de cumplimiento a través de informes para demostrar el acatamiento
de los distintos controles definidos en las normativas aplicables. 

Ejercicio práctico: dimensionamiento de la capa almacenamiento  

  0:00 / 8:13 1x 
Lección 4 de 11

IV. Fabricantes y soluciones alternativas

Cada SIEM es diferente y cada fabricante presenta distintas soluciones para sus capas de almacenamiento.
No obstante, aparte de las soluciones nativas, en el mercado se pueden encontrar algunas alternativas. En
este apartado se mostrarán ejemplos de soluciones propuestas por fabricante y alguna alternativa no nativa.

Ejemplos

Algunos ejemplos nativos de fabricante: 

 Ejemplo 1

ArcSight Logger

Figura 9. Aspecto de Logger de ArcSight.

Fuente: extraído de https://marketplace.microfocus.com

Se trata de la solución propuesta por MicroFocus. Permite la monitorización de logs en tiempo

real de sistemas y aplicaciones, dando, además, la posibilidad de configurar alertas. Los logs se
guardan tanto en RAW como normalizados, y las búsquedas son rápidas, ya que se hacen sobre
campos indexados. Además, se pueden configurar diferentes receivers o receptores para
diferenciar el tipo de log y aplicar periodos de retención diversos en función de los
almacenamientos lógicos que se hayan asociado a las fuentes. El sistema operativo
recomendado es RedHat Linux o CentOS, con unos recursos mínimos de 8 cores, memoria de 12
GB y un disco de al menos 1 TB. 
 Ejemplo 2

McAfee ELM
La solución propuesta por McAfee. Permite la recopilación y gestión completa de logs, y se
caracteriza por el almacenamiento flexible y herramientas de análisis basadas en búsquedas por
texto, ya que solo almacena los logs en RAW junto con un hash de este para asegurar su
integridad. Al no tener los logs normalizados, las consultas son lentas y costosas. Las
especificaciones mínimas son 8 cores, 4 GB de memoria y 250 GB de disco. 
 Ejemplo 3

QRadar

Figura 10. Políticas de retención en QRadar.

Fuente: extraído de https://www.ibm.com/

IBM ofrece la opción de establecer un listado de políticas de retención sobre las fuentes que se
pueden definir con base en filtros, de tal modo que la granularidad es muy alta. Aparte de marcar
el borrado de logs, se puede definir la compresión de estos para ahorrar espacio, así como
establecer unas políticas de back-up para una retención a largo plazo de logs que no son
directamente consultables y que tras una sencilla operación vuelven a serlo.
 Ejemplo 4

Indexer

Figura 11. Fichero de configuración indexes.conf en Splunk.

Fuente: extraído de https://docs.splunk.com/

Las máquinas que almacenan los datos en una arquitectura distribuida en Splunk son los
indexadores. Estos elementos se ocupan de almacenar los eventos enviados por las diferentes
fuentes a la plataforma, por lo que deben contar con almacenamiento suficiente. Los eventos se
asocian a un índice, de forma que la información está segmentada y se pueden aplicar diferentes
periodos de retención por índice. Dependiendo de la frecuencia con que se consulten datos y del
rendimiento de las búsquedas sobre estos, los datos se pueden recopilar en diferentes tipos de
almacenamientos, de modo que sean consultables sin requerir que todo el almacenamiento
cumpla unos altos requisitos hardware en materia de IOPS, siendo el tipo de almacenamiento
clave para el rendimiento, ya que se requieren al menos 1800 IOPS. Los indexers clasifican los
logs en diferentes estados y permiten el cambio de uno a otro para mejorar el rendimiento en las
búsquedas.
 Figura 12. Ciclo de los datos a través de los diversos estados en Splunk.
Fuente: extraído de https://www.learnsplunk.com/

En la ilustración previa se muestra el ciclo de vida de estados posibles en los que puede estar un evento,
teniendo en cuenta la frecuencia y el rendimiento de las búsquedas sobre un evento, así como el tamaño
máximo de los buckets (almacenamiento lógico) y el tiempo transcurrido tras su ingesta.

Como ya se ha mencionado, se pueden utilizar soluciones no nativas para la capa de almacenamiento,

delegando en el SIEM las funciones de recolección y correlación. Algunas de las soluciones populares
actualmente son Hadoop, Cloudera y MongoDB. Todas ellas soluciones de big data con capacidad de
procesar de manera eficaz conjuntos de datos de un gran tamaño. 
Lección 5 de 11

V. Cumplimiento de normativa

Como ya se ha mencionado a lo largo de la unidad, una de las principales características de un SIEM, y más
concretamente de la capa de almacenamiento, es que permite asegurar el cumplimiento de la normativa.
Esta es una de las peculiaridades que llevan a muchas entidades a adquirir un SIEM. El cumplimiento de
normativa subyace del inherente carácter sensible y confidencial de la información que manejan ciertos
sectores, como el financiero, el de la salud, el de auditorías y todos aquellos que manejan información
confidencial de terceros. Debido a esto existe la obligación de cumplir ciertas normativas en función del tipo
de información, localización geográfica, etc.

Algunas de las normativas más conocidas son las siguientes: 

Reglamento General de Protección de Datos (GDPR)

–
Mediante el Reglamento 2016/679, el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión
Europea han reforzado y unificado la protección de datos para todos los individuos dentro de la Unión.
También se ocupa de la exportación de datos personales fuera de la UE. No especifica una retención
mínima, se deben almacenar los datos tanto tiempo como sea necesario para el fin que fueron
recopilados.

PCI DSS
–
Es el estándar para la industria de pago por tarjeta. Toda compañía que procese o guarde información
relacionada con tarjetas debe cumplir con los requerimientos de esta normativa. La retención debe ser de
tres meses online y hasta un año, incluyendo el almacenamiento offline.
SOX
–
La ley de Sarbanes-Oxley nace en Estados Unidos para el control de las empresas que cotizan en bolsa y
evitar así fraude en la valorización de sus acciones. 

HIPAA
–
Nace en 1996 y se conoce como la ley de portabilidad y responsabilidad del seguro médico. Protege la
privacidad y confidencialidad de los pacientes en el entorno médico. La retención aplicable es de seis años,
aunque es diferente según las normativas de los Estados.
Lección 6 de 11

VI. Resumen

Repasa los conocimientos adquiridos en la unidad

En esta unidad se han visto las diferentes arquitecturas de almacenamiento (desde la más básica hasta
las arquitecturas que aseguran la continuidad de negocio o la recuperación ante desastres) y las
especificaciones físicas de las soluciones de almacenamiento junto con su utilidad, según la
arquitectura seleccionada, así como las principales características que exigir en un sistema de
almacenamiento en una plataforma SIEM que permitan la correlación de eventos, notificación de alertas
y visualización en forma de cuadros de mando o informes.

Dado que la capa de almacenamiento puede ser abstraída del resto de componentes SIEM, se han
estudiado las posibles soluciones, así como las diferencias o implicaciones que conllevan.

Por otro lado, se ha hecho una breve descripción de las funcionalidades o implementación de la capa de
almacenamiento en los diversos fabricantes (QRadar, ArcSight, Splunk…), por lo que se han podido
detectar sutiles diferencias a la hora de la implementación de esta capa. Aparte de las soluciones SIEM
tradicionales, se han enumerado algunas alternativas big data cuyo propósito es el procesamiento de
una gran volumetría de datos de forma ágil.

Por último, se han estudiado un poco más las diferentes normativas aplicables al negocio con base en el
propósito de la empresa, así como su ubicación geográfica. Las normativas están íntimamente
relacionadas con la capa de almacenamiento, ya que muchas de ellas tienen como requisito el
almacenamiento o cadena de custodia de los logs durante un periodo de tiempo determinado. En este
sentido, algunas de las normativas más conocidas son PCI DSS, SOX o HIPAA.
Lección 7 de 11

VII. Caso práctico con solución

Aplica los conocimientos adquiridos en esta unidad

ENUNCIADO

A continuación, se muestra un ejemplo sencillo para calcular el tamaño de disco necesario para el
almacenamiento de un tipo concreto de log. 
DATOS

Algunas variables manejadas por el SIEM y que se deben tener en cuenta para el ejemplo son las
siguientes: 

EPS (events per second) = eventos por segundo.

EPD (events per day) = eventos por día.

Suponiendo que nuestra plataforma maneja 1000 EPS, que su ratio de compresión es de 10:1 y que tras
la normalización el evento tiene un tamaño de 1500 bytes, vamos a calcular el disco necesario para
almacenar este tipo de eventos normalizados durante un año.

En primer lugar, se calculan los eventos por día: 

EPD = EPS × segundos en un día = 1000 × 86 400 = 86 400 000 EPD.

A continuación, se calcula el tamaño total de un día de eventos normalizados en disco: 

Tamaño_Día = EPD × Tamaño_Evento_Norm = 86 400 000 × 1500 = 129 600 000 000 bytes.

El tamaño de un día comprimido: 

Tamaño_Cp = Tamaño_Día × Tasa_Compresión = 129,6 GB × 1/10 = 12 960 000 000 bytes.

VER SOLUCIÓN
SOLUCIÓN

Finalmente, el tamaño total de almacenamiento necesario para un año será el siguiente: 

Tamaño_Año = Tamaño_Cp × 365 = 12 960 000 000 × 365 = 4 730 400 000 000 bytes.

Por lo tanto, el tamaño en disco necesario para almacenar un año de ese tipo de eventos será 4,7
TB.

A la hora de dimensionar es complicado calcular el tamaño mediante un ejercicio así, ya que no se tienen
en cuenta el crecimiento futuro de la plataforma, la variación que pueden sufrir los eventos del
fabricante, la normativa de almacenamiento, etc. Por tanto, se suele sobredimensionar la plataforma
para ahorrar costes futuros en materia de almacenamiento. 

Siguiendo con el ejemplo anterior, se supone que los 1000 EPS pertenecen al tráfico generado por un
cliente A. Si durante el diseño del SIEM hay una fase de negociación con un cliente B cuyo tráfico es de
500 EPS y que podría suponer una futura incorporación, una buena opción sería sobredimensionar el
almacenamiento a 8 TB para asegurar la asimilación del posible cliente. 
Lección 8 de 11

VIII. Lecturas recomendadas

Chuvakin, A.M Schmidt, K. Logging and Log Management. Syngress; 2012.

Jacobs, J.; Rudis, B. Data-Driven Security. Wiley; 2014. 

Miller, D. R.; Harris, S.; Harper, A.; Van Dyke, S.; Blask, C. Security Information and Event
Management (SIEM) implementation. McGraw-Hill; 2010. 

Talabis, M.; McPherson, R.; Miyamoto, I; Martin, J. Information Security Analytics. Syngress;
2014.  

Lecturas recomendadas sobre legislación

“GDPR: Lo que debes saber sobre el Reglamento General de Protección de Datos”. PowerData;
s. f.

“Ley Sarbanes-Oxley”. Wikipedia; s. f. 

“PCI Security Standards Council”.

“Summary of the HIPAA Security Rule”. HHS.gov; s. f.

Lección 9 de 11

IX. Enlaces de interés

Informática Española

IR A ENLACE

McAfee

IR A ENLACE
Lección 10 de 11

X. Glosario

El glosario contiene términos destacados para la

comprensión de la unidad

Bucket
–
Unidad lógica de almacenamiento de datos en Splunk que permite aplicar la configuración de retención y
rotado según la arquitectura y la naturaleza del dato.
DAS (direct attached storage)
–
Se trata del tipo de almacenamiento más tradicional, donde un dispositivo de almacenamiento está
directamente conectado al SIEM.

Disaster recovery (DR)

–
Arquitectura de recuperación ante desastres en la que la idea consiste en tener toda la información
duplicada en un segundo punto de almacenamiento, para, llegado el momento, en respuesta a un desastre,
hacerla accesible y poder recuperar el servicio y la arquitectura.

High availability (HA)

–
Arquitectura de alta disponibilidad cuya idea fundamental es replicar el entorno de almacenamiento y
hacerlo simultáneamente accesible para asegurar el correcto funcionamiento incluso en caso de desastre
sin enfrentarse a periodos de inactividad.

NAS (network attached storage)

–
Se trata de dispositivos de almacenamiento conectados a una red y que permiten el almacenamiento y la
extracción de información desde una ubicación centralizada.

SAN (storage area network)

–
Se trata de una red íntegramente dedicada al almacenamiento, conectada a la red de datos de la compañía
mediante canales de alta velocidad.
Lección 11 de 11

XI. Bibliografía

“Alta disponibilidad: esquemas activo-activo y activo-pasivo”. Trustnet; s. f.

“Managing Indexers and Clusters of Indexers”. Splunk; s. f. 

Murphy, J. Security information and event management SIEM implementation. CreateSpace

Independent Publishing Platform; 2017.

Thomas, A. Security Operations Center – Analyst Guide: SIEM technology, use cases and
practices. CreateSpace Independent Publishing Platform; 2016.