Las 13 mejores herramientas SIEM de código abierto
No existe una única herramienta de código abierto que ofrezca un SIEM completo y listo para producción de forma inmediata. Cada opción implica una contrapartida: o bien se obtiene un SIEM diseñado específicamente con deficiencias en el análisis, o bien una potente plataforma de registro y análisis que requiere que el usuario integre la detección de seguridad por su cuenta.
Aquí encontrará herramientas gratuitas de código abierto, relacionadas con la categoría SIEM, para crear su propia solución desde cero:
Herramientas SIEM de código abierto
Herramienta | Estrellas de GitHub | Caso de uso principal | Precios |
|---|---|---|---|
Wazuh | Más de 11.000 | SIEM | ✅ Gratis (versión local) |
Graylog | Más de 7600 | SIEM | ➕ Freemium |
OSSEC | Más de 4600 | SIEM | ➕ Freemium |
SecurityCebolla | Más de 3600 | SIEM | ✅ Gratis |
AlienVault OSSIM | Más de 120 | SIEM | ✅ Gratis |
La pila ELK | Más de 17.000 | Repositorio de registros y análisis | ➕ Freemium |
Fluidez | Más de 13.000 | Repositorio de registros y análisis | ➕ Freemium |
Búsqueda abierta | Más de 10.000 | Repositorio de registros y análisis | ➕ Freemium |
Suricata | Más de 5000 | Detección de intrusiones | ➕ Freemium |
Esnifar3 | Más de 2800 | Detección de intrusiones | ➕ Freemium |
Estas herramientas suelen almacenar los registros en índices Elasticsearch durante un período de retención configurable, según las políticas de almacenamiento y de datos. Para el almacenamiento a largo plazo, pueden ser necesarios procedimientos de archivo o integraciones adicionales.
Capacidades SIEM
*❌: Requiere integraciones de agentes de terceros (por ejemplo, Elastic Agent).
Las plataformas SIEM dependen de datos precisos de los dispositivos finales. Descubra cómo el software de gestión de dispositivos finales mejora la detección y la respuesta al garantizar que los dispositivos estén bien gestionados y seguros.
Dos tipos de herramientas de código abierto
Las herramientas centradas en SIEM ofrecen la mayoría de las funcionalidades básicas de forma nativa: correlación de registros, alertas, visualización y algunos informes de cumplimiento. Suelen tener una filosofía más definida y son más fáciles de configurar. Wazuh y SecurityOnion entran en esta categoría.
Las plataformas de registro y análisis son potentes herramientas de infraestructura de datos, excelentes para recopilar, almacenar y visualizar registros , pero no incluyen lógica de detección de seguridad. Considérelas como la base sobre la que se construye un SIEM. ELK Stack, OpenSearch y Graylog Open se incluyen en esta categoría.
Alternativas comerciales
Las herramientas SIEM de código abierto suelen carecer de las interfaces intuitivas para la creación de reglas que se encuentran en las herramientas comerciales. Además, sus funcionalidades de correlación son más básicas y, en general, no ofrecen capacidades listas para usar como:
- Paneles de control prediseñados para la gestión de registros
- informes de cumplimiento (por ejemplo, PCI-DSS, HIPAA)
- integraciones con otras herramientas empresariales, como cortafuegos, sistemas de protección de endpoints,
Las herramientas SIEM comerciales proporcionan capacidades SIEM básicas, que incluyen:
- correlación de eventos, análisis de registros
- capacidad para realizar evaluaciones de riesgo
- proporcionar acciones recomendadas basadas en puntuaciones de riesgo
- retención a largo plazo de hasta 12 meses
- Análisis del comportamiento de usuarios y entidades con modelos de aprendizaje automático predefinidos.
Las herramientas SIEM comerciales también ofrecen diversas funciones de orquestación y respuesta, así como formas de automatizar las tareas del SOC. Algunos proveedores de SIEM han incorporado capacidades SOAR para mejorar su capacidad de respuesta. Esto es habitual, ya que cada vez más herramientas de seguridad añaden funciones de automatización para facilitar su uso y aumentar su productividad. En algunos casos, esto sitúa a estos productos en la categoría SOAR .
Explicación de las herramientas SIEM de código abierto
Wazuh
Wazuh es la solución SIEM de código abierto más completa disponible en la actualidad. Se distribuye como una plataforma completa con cuatro componentes: un indexador (basado en OpenSearch, que almacena e indexa alertas), un servidor (el motor principal recopila registros de los agentes, analiza eventos e identifica indicadores de compromiso), un panel de control (interfaz web para visualizar eventos y amenazas) y un agente (que se ejecuta en los puntos finales y reenvía eventos al servidor).
Proporciona análisis de registros de seguridad, detección de vulnerabilidades, evaluación de la configuración de seguridad e informes de cumplimiento normativo de forma nativa, junto con alertas e informes basados en eventos, sin necesidad de una integración significativa con terceros.
Vea el concepto de Wazuh:
Graylog
Graylog centraliza los registros y proporciona alertas y paneles de control a través de una interfaz intuitiva. Cabe destacar que Graylog se rige por la Licencia Pública del Lado del Servidor (SSPL), que no es una licencia de código abierto aprobada por la OSI; se describe con mayor precisión como de código abierto o de código disponible.
1El plan gratuito incluye agregación de registros y alertas básicas. Las funciones más relevantes para el uso de SIEM, como el filtrado de búsqueda de registros, el archivado de registros, la detección de anomalías, las visualizaciones predefinidas y los informes de cumplimiento, se encuentran en el plan de pago Graylog Security. Graylog 7.0 introdujo un punto final experimental del Protocolo de Contexto de Modelo (MCP) que permite a los clientes LLM conectarse directamente a una instancia de Graylog para realizar consultas en tiempo real mediante comandos en lenguaje natural.
OSSEC
OSSEC es un sistema de detección de intrusiones en hosts (HIDS) de código abierto. Recopila y analiza datos de registro y ofrece algunas funcionalidades similares a las de un SIEM, pero carece de los componentes de gestión y análisis de registros propios de un SIEM completo. Ha sido reemplazado en gran medida por Wazuh, derivado de OSSEC y que continúa en desarrollo activo.
Componentes:
- Administrador: Recopila registros de las fuentes de datos.
- Agentes: Recopilar y procesar registros.
OpenSearch como solución SIEM: OSSEC proporciona capacidades SIEM básicas: recopila y analiza datos; sin embargo, carece de algunos de los componentes básicos de gestión y análisis de registros necesarios.
SecurityCebolla
SecurityOnion funciona como un SIEM (Empoderamiento Integrado de la Información) y un sistema de detección de intrusiones (IDS). Integra otras herramientas de código abierto como Snort, Suricata y Wazuh para ofrecer funciones completas de monitorización y detección de intrusiones en la red y en los equipos.
SecurityOnion incluye herramientas útiles para el análisis en profundidad, como Wireshark para el análisis del tráfico de red y Network Miner para la captura de paquetes y el análisis forense de redes.
SecurityOnion como solución SIEM:
- Sistemas de detección de intrusiones (IDS) basados en host y en red : Monitorean y detectan actividades sospechosas en hosts y redes.
- Captura completa de paquetes (FPC) : Captura el tráfico de red con netsniff-ng para detectar la exfiltración de datos, malware, phishing y otros ataques.
- Detección de amenazas : Utiliza SGUIL en SecurityOnion para identificar actividades maliciosas, incluidos los intentos fallidos de inicio de sesión en firewalls y controladores de dominio, lo que mejora la visibilidad y la comprensión de la situación.
AlienVault OSSIM
OSSIM es la versión de código abierto de la plataforma de gestión de seguridad unificada de AlienVault. Su principal ventaja reside en la inclusión de OpenVAS, un escáner de vulnerabilidades de código abierto, que le permite correlacionar las alertas de IDS de Snort y Suricata con los resultados del escaneo de vulnerabilidades, una capacidad realmente útil.
AlienVault OSSIM como solución SIEM: Una de las principales ventajas de OSSIM es la inclusión de OpenVAS (un escáner de vulnerabilidades de código abierto). Esto permite a OSSIM correlacionar los registros de IDS (de herramientas como Snort y Suricata) con los resultados del escáner de vulnerabilidades.
OSSIM ofrece:
- Recopilación y procesamiento de eventos.
- Correlación de datos de seguridad procedentes de múltiples fuentes.
- Evaluación de vulnerabilidades con integración de OpenVAS.
- Alertas basadas en eventos de seguridad.
Características clave faltantes :
La versión de código abierto de OSSIM carece de algunas características SIEM disponibles en la versión comercial, como por ejemplo:
- Informes
- Consola de respuesta o alerta de eventos en tiempo real
- Capacidad para etiquetar y separar registros
Pila ELK
La pila ELK es una infraestructura para el almacenamiento, procesamiento y visualización de registros. No es un SIEM; es la plataforma sobre la que se construyen funcionalidades similares a las de un SIEM. Usted crea las reglas de detección, la lógica de correlación y las alertas. La pila ya no es completamente de código abierto; sin embargo, sigue estando disponible una edición gratuita bajo la licencia propietaria de Elastic.
Componentes: Elasticsearch (almacenamiento e indexación), Logstash (agregación y normalización de registros), Kibana (visualización) y Beats (enviadores de registros ligeros). Lo que falta para su uso como SIEM: la versión gratuita no incluye un motor de correlación integrado (la herramienta de código abierto Elastalert cubre parcialmente esta carencia), no incluye reglas de seguridad integradas ni alertas o informes nativos.
ELK Stack como solución SIEM: ELK Stack proporciona agregación, procesamiento y visualización de registros; sin embargo, no es un sistema SIEM completo.
- Características clave faltantes :
- Motor de correlación: La versión gratuita de ELK Stack no incluye una función de correlación integrada. Sin embargo, existen alternativas de código abierto, como Yelp/Elastalert, que pueden utilizarse para la correlación.
- Informes o alertas integrados : esto supone un inconveniente importante para el uso de SIEM y las operaciones informáticas en general.
- Reglas de seguridad integradas : Esto aumenta los requisitos operativos y de recursos de la pila.
Fluidez
Fluentd es un recolector y reenviador de registros, no un SIEM. Recopila registros de diversas fuentes y los envía a otros sistemas para su procesamiento. Se integra perfectamente con Elasticsearch, OpenSearch, Splunk y Snowflake, pero no realiza detección, correlación ni alertas de amenazas, y carece de una capa de almacenamiento.
Fluentd como solución SIEM
- Recopilación y reenvío de registros : Fluentd es altamente eficiente en la recopilación de registros de diversas fuentes y su reenvío a plataformas SIEM para su posterior análisis.
- Integración : Fluentd se integra a la perfección con herramientas populares como Elasticsearch, Splunk y Snowflake como un componente esencial de ingesta de registros.
- Procesamiento de datos en tiempo real : Fluentd procesa los registros en tiempo real, lo que permite el reenvío inmediato de los datos de registro.
Características clave faltantes :
- Detección de amenazas : Fluentd no realiza detección ni análisis de amenazas, una capacidad fundamental de los sistemas SIEM.
- Correlación de registros : No puede correlacionar eventos de múltiples fuentes de datos para identificar incidentes de seguridad complejos.
- Alertas e informes : Fluentd no incluye las funciones integradas de alertas o informes que suelen encontrarse en las soluciones SIEM.
- Almacenamiento de datos a largo plazo : Fluentd no ofrece soluciones de almacenamiento para registros; simplemente reenvía los datos a sistemas externos.
Búsqueda abierta
OpenSearch, lanzado en 2021 como una bifurcación de Elasticsearch y Kibana, es un proyecto de software de código abierto liderado por AWS. Incluye OpenSearch (la base de datos) y OpenSearch Dashboards (para visualización y análisis).
OpenSearch como solución SIEM: Si bien no es una solución SIEM completa, OpenSearch puede ser utilizado por las organizaciones para almacenar y analizar datos de seguridad. Sin embargo, al igual que la pila ELK, requiere la configuración manual de funciones SIEM básicas como la detección de seguridad y el análisis de datos.
Suricata
Suricata es un sistema de detección y prevención de intrusiones en la red (IDS/IPS) que proporciona inspección profunda de paquetes y monitorización de la red. Suricata no es una solución SIEM completa.
Suricata se integra con Elastic Stack para SIEM utilizando Elasticsearch para almacenar y consultar registros, Filebeat para reenviar datos y Kibana para visualizar y analizar eventos de seguridad de red. Esta configuración ayuda a las organizaciones a monitorear y responder de forma proactiva a las amenazas de seguridad en tiempo real.
Suricata como solución SIEM:
- Función principal : Suricata analiza el tráfico de red en busca de ataques (de forma similar a Snort), incluyendo análisis específicos de protocolos (por ejemplo, HTTP, DNS, SSH) y detección en la capa de aplicación.
- Alertas : Suricata genera alertas en tiempo real basadas en anomalías o amenazas detectadas, que pueden enviarse a plataformas SIEM para su posterior procesamiento.
- Puntos fuertes : Proporciona información más detallada sobre la capa de aplicación, como la detección de tráfico HTTP y SSH.
Bufido
Snort es un sistema de detección de intrusiones de red ampliamente utilizado, enfocado en ataques basados en la red: DDoS, escaneos de puertos sigilosos e identificación de sistemas operativos. Al igual que Suricata, no es un SIEM completo. Genera alertas para su procesamiento posterior y se integra con Logstash y Splunk para la correlación. Como herramienta independiente, carece de normalización de registros, almacenamiento centralizado y respuesta a incidentes.
Snort como solución SIEM:
- Función principal : Detectar ataques basados en la red, como ataques DDoS, escaneos de puertos sigilosos e identificación del sistema operativo.
- Alertas : Snort genera alertas basadas en las amenazas detectadas y las envía a syslog u otros sistemas de registro, que luego pueden ser procesados y analizados por una plataforma SIEM.
- Integración : Snort puede integrarse con otras herramientas SIEM como Elasticsearch, Logstash o Splunk para una mejor correlación y análisis de los eventos de seguridad de la red.
- Limitaciones : Como solución independiente, Snort carece de funciones SIEM esenciales como la normalización de registros, el almacenamiento centralizado y la gestión integral de la respuesta a incidentes. Se centra exclusivamente en la detección de intrusiones en la red.
Zabbix
Zabbix es una herramienta de monitorización de redes e infraestructuras, no un SIEM. Puede analizar registros de sistemas Windows y Linux y resulta útil para recopilar datos históricos de rendimiento. Algunas organizaciones lo utilizan junto con un SIEM: Zabbix se encarga de la monitorización del estado de la infraestructura y genera alertas mediante webhooks, mientras que el SIEM gestiona la correlación de registros y el análisis de seguridad.
Nagios
Nagios supervisa el estado de hosts, servicios y redes, realizando un seguimiento de los servicios de red (SMTP, HTTP, PING) y los recursos del host (CPU, disco), con soporte para complementos de monitorización creados por el usuario. Su motor de servidor de registros recopila datos en tiempo real, alimenta una interfaz de búsqueda y gestiona la rotación y el archivado automáticos de registros. No está diseñado para la correlación de eventos de seguridad ni para la detección de amenazas.
Características principales:
- Escucha:
- Supervisa los servicios de red (por ejemplo, SMTP, HTTP, PING) y los recursos del host (por ejemplo, CPU, uso del disco).
- Supervisión de servicios creados por el usuario mediante complementos.
- Gestión de registros:
- Rotación y archivo automatizados de registros.
- Filtra los datos de registro por origen geográfico.
- Interfaz en línea para la visualización del estado de la red y los registros.
Preguntas frecuentes
Probablemente no necesites un SIEM si tienes menos de 50 puntos finales y no tienes requisitos regulatorios, si tu organización funciona principalmente con aplicaciones SaaS y cuenta con una infraestructura local mínima, o si no tienes a nadie que lo supervise y optimice activamente. Un SIEM sin supervisión genera una falsa sensación de seguridad, no seguridad real.
Deberías considerar seriamente la posibilidad de adquirir una solución de este tipo si operas bajo marcos regulatorios como PCI-DSS, HIPAA o GDPR, si cuentas con un equipo de seguridad o un SOC dedicado, o si necesitas visibilidad centralizada en un entorno complejo con múltiples ubicaciones.
Para las organizaciones más pequeñas que no cuentan con esos factores clave, la externalización a un MSSP suele ser más rentable que gestionar un SIEM interno.
Existen herramientas centradas en SIEM y plataformas de registro y análisis.
Proporcionan la mayoría de las funcionalidades básicas de forma nativa: correlación de registros, alertas, visualización y algunos informes de cumplimiento. Son más específicos y fáciles de configurar. Wazuh y SecurityOnion son los principales ejemplos.
Son potentes herramientas de infraestructura de datos, excelentes para recopilar, almacenar y visualizar registros, pero no incluyen lógica de detección de seguridad. Considérelas como la base sobre la que se construye un SIEM, no como un SIEM en sí mismo.
Para más detalles:
- Los 10 mejores sistemas SIEM: Cómo elegir la mejor solución
- Más de 10 programas SOAR y alternativas de código abierto
Enlaces de referencia
Sé el primero en comentar
Tu dirección de correo electrónico no será publicada. Todos los campos son obligatorios.