Muchas gracias Edison! No olvides compartirlo!

Hola Rubén! En estos dos videos encuentras los elementos básicos de Log360, nuestra herramienta SIEM y sus capacidades impulsadas por machine learning: kzbin.info/www/bejne/e3mwoIBse7OFmqs kzbin.info/www/bejne/oaSqmI19faahock Esperamos te sean de ayuda! Mil gracias!

Te confirmo que un SIEM no remplaza a un antivirus, ya que un SIEM recopila datos de diferentes fuentes realizando una correlación avanzada de los eventos que suceden en la infraestructura, y su función principal es presentar esta información a través de varios reportes y alertas (en algunos casos se aplican workflows). Un antivirus funciona con base en firmas, y su función principal es detectar, contener y eliminar todo tipo de virus.

Estimado Waylon, Los eventos son enviados al SIEM de diferentes formas dependiendo los recursos: 1. Windows: Servidores y Workstation envían los logs mediante el WINDOWS MANAGEMENT INSTRUMENTATION (WMI), claro está que se debe tener algunos puertos abiertos para que se puedan enviar los logs al SIEM, el SIEM recibe los logs y hace un parsing de los logs para convertirlos bien sea en alertas y reportes. 2. Linux/Firewall/Switch: Todos los dispositivos que envían los logs por syslog; el SIEM los puede recibir mediante el puerto UDP 513 que es el puerto por defecto, pero esto se puede cambiar, solo se debe configurar en los dispositivos la dirección ip del SIEM junto a esto el puerto que ustedes quieran y automáticamente el SIEM empieza a recibir los logs mediante syslogs. 3. Aplicaciones: la forma de enviar los logs de aplicaciones se puede realizar bajo el formato CEF o subir por SFTP o traerlos desde un PATH especifico. Saludos!

Totalmente! En este video te contamos qué es SIEM. Saludos!