CambioDigital-OL

0

Por qué necesita gestionar los registros de eventos

databreachCada vez más empresas están utilizando sus registros de seguridad para detectar incidentes maliciosos. Muchos de ellos recopilan demasiados datos de registro, a menudo miles de millones de eventos. Se jactan del tamaño de sus matrices de unidades de almacenamiento de registros. ¿Se miden en terabytes o petabytes?

Una montaña de datos no les proporciona tanta información útil como quisiera. A veces menos, es más. Si recibe tantas alertas que no puede responder adecuadamente a todas ellas, entonces algo tiene que cambiar. Un sistema centralizado de gestión de registros puede ayudar. Esta rápida introducción al registro y las recomendaciones de expertos ayudan a los nuevos administradores de sistemas a comprender lo que deberían hacer para aprovechar al máximo los registros de seguridad.

Los fundamentos del registro de eventos de seguridad
Una de las mejores guías para el registro de la seguridad es la National Institute of Standards & Technology (NIST) Special Publication 800-92, Guide to Computer Security Log Management. Aunque es un poco antigua, escrita en el 2006, aún cubre los aspectos básicos de la gestión de los registros de seguridad.

Coloca generadores de registros de seguridad en tres categorías: sistema operativo, aplicación o software específico de seguridad (por ejemplo, firewalls o sistemas de detección de intrusos [IDS]). La mayoría de las computadoras tienen docenas de registros. Las computadoras con Microsoft Windows vienen con tres registros principales de eventos binarios: sistema, aplicación y seguridad. Desafortunadamente, los nombres pueden ser engañosos, y la evidencia de eventos de seguridad a menudo se almacena en los tres registros.

A partir de Windows Vista, esos tres archivos de registro principales se dividen en casi cien vistas diferentes para una digestión más enfocada. Al menos una docena son registros de texto o binarios, incluso sin ninguna otra aplicación instalada. Un sistema de estilo Unix generalmente tiene un archivo syslog centralizado junto con otros archivos de registro, basados en texto, para todas las diversas aplicaciones y daemons. Muchos administradores redirigen los archivos individuales al archivo syslog principal para centralizar las cosas.

Los smartphones y otros dispositivos informáticos generalmente también tienen archivos de registro. La mayoría son similares a syslog, pero no se pueden ver ni acceder fácilmente. La mayoría requiere que el dispositivo se ponga en un modo especial de registro de depuración o que descargue software adicional para ver o configurar los archivos de registro. Una excepción son los registros de bloqueo de iPhone, que iTunes sincroniza con la PC host en cada conexión.

Es mucho más difícil acceder a los archivos de registro de seguridad en dispositivos móviles y mucho menos útiles una vez que lo logra. Es posible que pueda obtener información básica sobre un evento de seguridad, pero con muchos menos detalles de los que puede obtener de una computadora personal promedio. Muchos administradores instalan una aplicación de terceros para recopilar datos de registro de seguridad más completos desde un dispositivo móvil.

Windows habilita la mayoría de los archivos de registro de forma predeterminada, aunque es posible que deba definir qué nivel de registro desea. La activación de la mayor cantidad de detalles posible solo debe realizarse durante una necesidad específica o al intentar rastrear un evento de seguridad activo y conocido. De lo contrario, la cantidad de mensajes de eventos puede abrumar rápidamente a un sistema. Muchos sistemas se han bloqueado porque los bien intencionados administradores de sistemas activaron el registro más detallado para ayudar a diagnosticar algo y luego se olvidó de apagarlo.

Los sistemas tipo Unix generalmente tienen el syslog habilitado por defecto, y pueden configurar el nivel de detalle. Muchos otros archivos de registro de aplicaciones y seguridad están deshabilitados de forma predeterminada, pero puede habilitarlos individualmente con una sola línea de comando.

Cada dispositivo de red y aplicación y dispositivo de seguridad generará sus propios registros. En total, un administrador de sistemas tendrá cientos de archivos de registro para elegir. Un sistema típico de usuario final puede generar de miles a decenas de miles de eventos por día. Un servidor puede generar fácilmente cientos de miles o millones de eventos al día.

Consejo: A menos que sepa de un evento de seguridad en curso, la configuración de registro predeterminada proporcionará información más que suficiente para la mayoría de las necesidades de seguridad. Comience con los valores predeterminados y agregue archivos de registro y detalles solo cuando sea necesario. Si activa el registro detallado, haga un recordatorio para desactivar el detalle adicional más tarde para que no lo olvide.

Registro centralizado de eventos de seguridad
Cada administrador desea recopilar los archivos de registro predeterminados más comunes de cada computadora en una ubicación centralizada. El valor de agregar todos los datos a una base de datos centralizada para alertas y análisis simplemente no puede subestimarse. La pregunta es: ¿cómo se agregan todos esos datos y cuánto?

La mayoría de los sistemas tienen la capacidad de enviar sus principales archivos de registro a una ubicación centralizada. Casi siempre obtendrá mucho más valor y versatilidad al usar un agente de terceros creado exactamente para recopilar y enviar información de registro de eventos. Muchos administradores usan utilitarios gratuitos para hacerlo, pero la mayoría de las opciones comerciales son mejores.

Preferirá un sistema centralizado de administración de registros para recopilar, almacenar y analizar todos los datos. Hay cientos de opciones y proveedores para elegir. Tiene opciones solo de software y de dispositivo, la cual le proporciona más fácilmente un mejor rendimiento en la mayoría de los casos. Elija una opción que le permita recopilar de manera eficiente y segura datos de eventos de la mayoría de sus fuentes. No deseará enviar datos de registro de eventos a través del cable en texto claro. El software de gestión de registro de eventos debe agregar los datos, normalizarlos (convertirlos a un formato común), alertar sobre eventos anómalos y permitirle ejecutar consultas.

Antes de elegir cualquier solución, pruebe antes de comprar. Deseará poder escribir en cualquier consulta y obtener una respuesta en un tiempo razonable. Si espera entre diez y quince segundos para obtener una respuesta, utilizará menos el análisis de registro de eventos y comenzará a perder su valor.

La mayoría de las empresas recopilan todos los datos de los principales archivos de registro predeterminados, y estos pueden ser abrumadores, tanto desde el punto de vista de la utilización de la red, como desde el punto de vista del almacenamiento. Me refiero a esto literalmente, no figurativamente. La mayoría de los administradores experimentados tienen una historia de cómo la agregación de los registros de eventos redujo el rendimiento de su red hasta que optimizaron el registro de eventos.

Haga lo que haga, no solo recopile información de los servidores. Hoy en día, la mayoría de los compromisos comienzan desde estaciones de trabajo de usuario final. Si no recopila los archivos de registro de las computadoras cliente, la mayoría de los datos valiosos se perderá.

Consejo: Genere tantos detalles como necesite en el sistema local, pero filtre y envíe solo los eventos más valiosos y críticos a su sistema centralizado de administración de registros. Envíe lo que sea necesario para generar alertas para todos sus eventos de seguridad más importantes, pero deje el resto en el sistema local. Siempre puede recuperar los detalles adicionales cuando sea necesario. Con este método, puede obtener los datos que necesita para recibir alertas e iniciar investigaciones forenses, pero sin saturar su red y dispositivos de almacenamiento. Siempre existe la posibilidad de que un tipo malo pueda eliminar los datos de registro de eventos locales antes de que pueda recuperarlos, pero en la práctica casi nunca he visto que eso suceda.

Obtener información útil de registro
La parte más difícil de cualquier sistema de administración de registro de eventos es obtener suficiente información para poder detectar todos los eventos de seguridad necesarios, sin saturar su sistema con demasiado ruido. Incluso en los sistemas de gestión más eficientes, la mayoría de los datos de registro de eventos recopilados serán ruido. Es solo la forma en que funciona la administración de registro de eventos.

Consejo: Asegúrese de que la fecha y la hora estén configuradas correctamente en todos sus sistemas. Al tratar de correlacionar eventos, debe tener la hora exacta.

Donde los sistemas de administración de registro de eventos muestran su valor real es en qué tan bien filtran el ruido innecesario y alertan sobre eventos procesables útiles. Los eventos críticos siempre deben conducir a una alerta inmediata y a una investigación receptiva. Un registro de evento debe definirse como accionable cuando el registro de evento indica una gran probabilidad de actividad maliciosa, actividad excesiva (sostenida) del sistema, caída inesperada (sostenida) de la actividad del sistema o problemas o fallas en el rendimiento de la aplicación.

Un buen sistema de gestión de registro de eventos viene con alertas comunes predefinidas (por ejemplo, bloqueos de cuentas excesivos) y permite a los administradores crear sus propios eventos (desviaciones de las líneas de base esperadas que exceden un cierto umbral). Puede tomar múltiples eventos correlacionados desde múltiples sistemas para generar una alerta. Dependiendo de la rareza del evento, un solo evento (por ejemplo, iniciar sesión en una cuenta “trampa” falsa) es suficiente para generar una alerta. Un buen sistema viene con los eventos en los que la mayoría de los administradores quieren alertar y con suficientes filtros para eliminar la basura.

Consejo: Comience definiendo todos los eventos relacionados con los ataques exitosos futuros más recientes y más probables de su empresa, y luego descubra qué mensajes de eventos y alertas necesita definir para detectar y detener esos ataques. Tiene muchos, muchos eventos de seguridad de los que preocuparse, pero los que debe monitorear más y alertar, son aquellos que probablemente sean utilizados en el futuro en contra de su compañía.

El buen registro de eventos consiste en extraer los eventos críticos y alertas necesarios de una cantidad de información que, de otro modo, sería abrumadora. El problema para la mayoría de los administradores no es obtener suficiente información, sino obtener la información realmente útil de un abrumador tsunami de eventos. Un buen sistema de gestión de registro de eventos le ayuda a hacerlo.

Roger A. Grimes, CSOonline.com

Ordenado por: Seguridad Tags: 

TOT

 

 

Contenidos recomendados...

Comparta esta publicación

Artículos relacionados

Escriba su comentario

Ud. tiene que estar conectado para publicar comentarios.

Red de publicaciones IDG en Latinoamérica: Computerworld Ecuador - Computerworld Colombia - CIO Perú // Contáctenos
© 2018 Computerworld Venezuela - All rights reserved ---- WordPress - Tema adaptado por GiorgioB