<img src="https://certify.alexametrics.com/atrk.gif?account=CJF3n1a4KM10N8" style="display:none" height="1" width="1" alt="">
Monitoreo de logs
enero 31, 2019

Herramientas para el monitoreo de logs: ¿cómo elegirlas?

Las herramientas de monitoreo de logs son fundamentales para la seguridad informática de cualquier entidad. De hecho, se han convertido en una necesidad que ha propiciado el desarrollo de otras herramientas que  sirven para la gestión de eventos y seguridad de información (más conocidos como SEM).

En este artículo te damos a conocer un poco más sobre cómo funcionan y en qué consisten las herramientas de monitoreo de logs.

Empecemos con un ejemplo, imagina que en un barco la cofa es el lugar importante donde una persona está a cargo de la observación de los peligros del mar, de las naves que se avecinan, las costas, animales marinos, etc. Es responsabilidad de este vigía alertar al capitán y demás tripulantes de la nave en caso de que exista un peligro, pero ¿Qué pasa si esta persona no se encuentra en su lugar ? llegan los peligros y por ende los problemas.

Esta metáfora podemos llevarla a nuestras empresas bajo la figura del monitoreo de logs, el cual vendría siendo nuestra torre o cofa de vigilancia. 

 

Descarga ahora el E-book: Lo que necesitas en un SIEM lo encuentras en Security Event Manager de SolarWinds

Situándonos en un contexto organizacional, las empresas tienen un centinela electrónico dentro de la mayoría de sus sistemas, encargado del monitoreo de registros, eventos o monitoreo de logs, como lo llamamos nosotros.

sem

Primero lo primero ¿Qué es el monitoreo de logs?

El monitoreo de logs es el proceso de supervisar continuamente los registros en busca de eventos o patrones específicos para identificar posibles problemas.

Los desarrolladores y DevOps observan continuamente los registros a medida que se registran y, además, emplean herramientas de supervisión de registros para recopilar, examinar y comprender los datos de rendimiento de la red.

La supervisión de registros se utiliza a menudo para garantizar la estabilidad del sistema, identificar brechas de seguridad y realizar un seguimiento de los cambios o actualizaciones de un sistema. Puede utilizarse en diversos entornos, como departamentos de TI, servidores web y sistemas basados en la nube. 

Todos los componentes de la red, incluidos el software y el hardware, producen registros a medida que funcionan. Es un proceso para recopilar información y alertar a las personas cuando existe un posible problema. Además logra: 

  • Evaluar los registros recopilados a medida que se van registrando.
  • Agregar archivos de registro y proporcionar alertas o notificaciones para determinados mensajes de registro y eventos.

Lee también: Cumple la norma ISO 27001 con Security Event Manager de SolarWinds

 

Gestión y monitoreo de logs en las empresas

Estos programas de monitoreo de logs supervisan la actividad de la red, inspeccionan los eventos del sistema y almacenan diferentes acciones (por ejemplo, cambiar el nombre de un archivo o abrir una aplicación) que ocurren dentro de los sistemas vigilados, contando con la capacidad de consolidar aquellos datos que podrían alertarte sobre una violación de políticas de seguridad.

La mayoría de los sistemas y herramientas para monitoreo de logs generan registros que incluyen sistemas operativos, navegadores de Internet, sistemas de punto de venta, estaciones de trabajo, eventos de logueo, antimalware, firewalls y sistemas de detección de intrusos (IDS).

Algunos sistemas no habilitan automáticamente el registro, por lo que es importante validar que éstos se encuentren activados.

Algunas herramientas de monitoreo de logs, aún cuando generan reportes, no proporcionan soluciones de administración de registros de eventos, tampoco permiten correlacionar la información obtenida o almacenarla en el tiempo.

Por ello es muy importante conocer las capacidades de tus sistemas, las políticas de seguridad y, de ser necesario, instalar un software de monitoreo de logs y supervisión de registros de terceros.

No monitorear los registros: el gran error de las organizaciones

Dada la gran cantidad de datos de registro generados por los sistemas, puede resultar muy engorroso revisarlos de forma manual o asignar a un recurso en el área de TI para la realización de esta tarea de forma exclusiva.

banner-ebook-siem-sem

Por ello, el software de monitoreo de logs o registros, facilita esta tarea mediante la aplicación de reglas que automatizan la revisión de estos registros, para generar alertas en tiempo real y pueden ser enviadas por diferentes medios como SMS, correo electrónico o incluso, gráficamente, solo para aquellos eventos que puedan representar problemas, violación de políticas, incumplimiento de estándares o amenazas.

A partir de esto, implementar el monitoreo de logs o revisar de manera regular los registros, se vuelve parte esencial para las empresas, pues, puede ayudarte a identificar ataques maliciosos en los sistemas de tu organización.

Tipos de eventos a considerar cuando configuras tu administrador de logs:

No importa cuáles sean los tipos de logs o las herramientas para el monitoreo de logs que trabajes en la empresa, siempre debes tener presente los siguientes eventos:

  • Cambios de contraseña.
  • Inicios de sesión no autorizados.
  • Fallos de inicio de sesión.
  • Nuevos eventos de inicio de sesión.
  • Detección de malware.
  • Ataques de malware vistos por IDS u otra evidencia.
  • Escaneo en firewalls de puertos abiertos y cerrados.
  • Ataques de denegación de servicio.
  • Errores en dispositivos de red.
  • Cambios de nombre de archivo.
  • Cambios en la integridad del archivo.
  • Datos exportados.
  • Nuevos procesos iniciados o procesos en ejecución detenidos.
  • Eventos de acceso compartido.
  • Eventos desconectados.
  • Instalación de nuevos servicios.
  • Auditoría de archivos.
  • Nuevas cuentas de usuario.
  • Valores de registro modificados.
  • Eventos de logueo fuera del horario laboral.
  • Intento de acceso a sistemas por parte de perfiles no autorizados.

sem

5 tips para una buena gestión y monitoreo de logs:

Para aprovechar las ventajas de la administración de registros y eliminar rápidamente los ataques, comprueba tu estrategia de seguridad y asegúrate de que estos pasos están siendo atendidos.

  1. Decidir cómo y cuándo generar registros.
  2. Asegurar tus registros almacenados para que no sean alterados maliciosamente por los cibercriminales o accidentalmente alterados por empleados bien intencionados.
  3. Asignar a una persona de confianza la responsabilidad de monitorear los logs periódicamente.
  4. Conformar un equipo idóneo y empoderado para actuar frente a alertas sospechosas.
  5. Configurar reglas para la generación de alertas (por ejemplo, intentos de inicio de sesión fallidos por minuto, adición de nuevas cuentas de usuario, valores de registro modificados, etc.). Tómate tu tiempo en esta tarea,  no es recomendable aplicar al 100% las plantillas proporcionadas por el fabricante.

 

¿Cómo elegir las mejores herramientas de gestión de registros?

Cada empresa puede tener necesidades de registro únicas basadas en el volumen de registros, la escalabilidad, el cumplimiento o la retención de registros. Estos son los aspectos esenciales en los que hay que pensar:

1. Privacidad y cumplimiento

El cumplimiento de la privacidad se refiere a la necesidad de una organización de actuar con cautela a la hora de gestionar los datos confidenciales que recibe a diario. Se trata de un procedimiento que permite a las empresas u organizaciones cumplir los requisitos comerciales y normativos para la conservación y gestión de los datos.

La HIPAA tiene normas estrictas en materia de gestión de registros y auditorías.

  • ¿Qué datos confidenciales se modifican o intercambian?
  • Quién ha tenido acceso a qué datos y cuándo
  • Inicio de sesión de los empleados
  • Actualizaciones de software y seguridad
  • Actividades tanto del sistema como de los usuarios
  • Tendencias de uso inusuales

2. Volumen de registros y retención

Determine el volumen diario y tenga en cuenta los picos de datos y los comportamientos inusuales. Determine si sus casos de uso son para la cola en vivo y la depuración en tiempo real, si debe conservar los registros para el cumplimiento de la normativa y durante cuánto tiempo almacenar los datos.

3. Costo y escalabilidad

El cost0 desempeñará un papel importante en la toma de decisiones. El pago por gigas es uno de los usos más adaptables y sensatos de una plataforma de registro. Dependiendo de tu producto, puedes pasar de procesar unos pocos miles de logs diarios a unos cuantos millones por noche. Aquí tienes una lista útil de comprobación para calcular tus costos operativos totales y las características que querrás de una plataforma de gestión de logs:

  • Prueba gratuita
  • Seguimiento de los gastos de retención del volumen de almacenamiento de registros
  • Límites para los usuarios y qué hacer si se superan
  • Funciones disponibles para cada plan

Gestión de registros frente a SIEM

Tanto el software de gestión de eventos e información de seguridad (SIEM) como el de gestión de logs utilizan el archivo de registro o registro de eventos para mejorar la seguridad reduciendo la superficie de ataque, identificando amenazas y mejorando el tiempo de respuesta en caso de incidente de seguridad.

Sin embargo, la diferencia clave es que el sistema SIEM se construye con la seguridad como su función principal, mientras que los sistemas de gestión de logs se pueden utilizar de manera más amplia para gestionar recursos, solucionar problemas de red o interrupciones de aplicaciones y mantener el cumplimiento.

Lee también: ¿Qué es Siem y qué eventos puedes evitar con la seguridad informática?

4 retos comunes de la gestión de registros

Una explosión de datos, impulsada por la proliferación de dispositivos conectados, así como el cambio a la nube, ha aumentado la complejidad de la gestión de logs para muchas organizaciones. Una solución de gestión de registros moderna y eficaz debe abordar estos retos fundamentales:

1. Estandarización

Dado que la gestión de logs extrae datos de muchas aplicaciones, sistemas, herramientas y hosts diferentes, todos los datos deben consolidarse en un único sistema que siga el mismo formato. Este archivo de registro ayudará a los profesionales de TI y de seguridad de la información a analizar eficazmente los datos de registro y a obtener información útil para llevar a cabo servicios críticos para la empresa.

2. Volumen

Los datos se producen a un ritmo increíble. Para muchas organizaciones, el volumen de datos que generan continuamente las aplicaciones y los sistemas requiere un enorme esfuerzo para recopilarlos, formatearlos, analizarlos y almacenarlos con eficacia. Un sistema de gestión de registros debe estar diseñado para gestionar la cantidad extrema de datos y proporcionar información oportuna.

3. Latencia

La indexación dentro del archivo de registro puede ser una actividad muy costosa desde el punto de vista informático, lo que provoca latencia entre los datos que entran en un sistema y los que se incluyen en los resultados de búsqueda y las visualizaciones. La latencia puede aumentar dependiendo de cómo y si el sistema de gestión de registros indexa los datos.

4. Elevada carga informática

Cuando se hace manualmente, la gestión de logs es increíblemente lenta y costosa. Las herramientas digitales de gestión de registros ayudan a automatizar algunas de estas actividades y alivian la carga de los profesionales de TI.

 

Estos análisis y los reportes generados por la herramienta te ayudarán a demostrar el cumplimiento de normas como PCI, HIPAA, SOX e incluso, normas locales, como aquellas definidas en la  Circular 007.

Todo esto te permitirá actuar oportunamente para eliminar los inconvenientes de seguridad encontrados y así mitigar amenazas internas y/o externas.

¿Necesitas apoyo? Conoce aquí la mejor solución SIEM

para tu empresa 👇 👇

Ver Todos los Servicios

Deja un comentario

¡Mantente informado! Te invitamos a suscribirte a nuestro blog