Procesamiento en un sistema Security Information and Event Management (sistema SIEM)
Para poder aceptar los mensajes Syslog entrantes, un sistema SIEM debe entender el
protocolo Syslog según RFC 5424. De lo contrario, el sistema SIEM no puede aceptar ni
procesar los mensajes entrantes.
El sistema SIEM descompone los mensajes Syslog entrantes en elementos individuales.
Dichos elementos se asignan a un evento propio del sistema SIEM. Dentro de este evento, se
analiza si los distintos mensajes Syslog están relacionados. De esta forma, el sistema SIEM
detecta posibles vectores de ataque y, dado el caso, informa al usuario, p. ej., si se producen
ataques al sistema en varias ubicaciones.
① CPU
② Mensajes Syslog
③ Servidor Syslog, p. ej., SINEC INS
④ Sistema SIEM
⑤ Notificación para el usuario
Figura 4-2
Más información
Encontrará más información acerca de la gestión de redes con SINEC INS en el manual
"SIMATIC NET: Network management SINEC INS V1.0 SP2"
(https://support.industry.siemens.com/cs/es/es/view/109781023).
Encontrará más información sobre la estructura de los mensajes Syslog en el capítulo
Estructura de los avisos Syslog (Página 61).
Sistema redundante S7-1500R/H
Manual de sistema, 01/2024, A5E41815172-AF
Reenvío y procesamiento de mensajes Syslog
Ciberseguridad industrial
4.9 Operación segura de las CPU
57