Administracion De Eventos

2,492 views
2,307 views

Published on

WhitePaper Sobre la importancia de la administracion de eventos

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,492
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
34
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Administracion De Eventos

  1. 1. Resumen La administración de log de eventos, es decir, el monitoreo, la recopilación, la consolidación y el análisis de archivos de log, se ha convertido en una carga necesaria y creciente para los profesionales de seguridad de redes y administradores de IT. Tener varios servidores con diferentes sistemas operativos y varios tipos de logs en cada equipo genera una gran cantidad de datos de archivos de log. Cuando se agregan routers, firewalls y otros dispositivos como concentradores de VPN, crece el volumen de datos que debe ser de fácil acceso. De hecho, un único registro de eventos en un servidor con Microsoft Windows es capaz de generar alrededor de 1 GB de datos de log en apenas 24 horas. Multipliquemos este número por la cantidad de servidores en una organización, y a continuación, por la cantidad de tiempo que deben almacenarse los archivos de log: la tarea de mantenimiento de eventos se vuelve inmanejable. Agreguemos a esta ecuación firewalls, redes VPN, routers, aplicaciones en base web, el nuevo formato de log EVTX y la creciente presencia de teletrabajadores en el espacio público: en teoría, el sistema parece desequilibrado, al punto de fallar. Introducción Los logs de eventos permiten a los administradores que revisen el historial reciente de un servidor o de un dispositivo de red y observar tendencias, fallas, sucesos y otra información crítica para la organización. En tiempo real pueden brindan indicadores de infecciones por troyanos y malware en equipos y redes. Los logs de eventos también almacenan pruebas potencialmente valiosas para el análisis forense. Tras un incidente de seguridad en la red, los logs de eventos almacenan toda la información sobre dicho incidente: como sucedió, cuando, y en último caso, las claves para prevenir que vuelva a ocurrir. Dado que puede brindar tanto una defensa de primera línea, como los elementos necesarios para un análisis forense, el log de eventos es un componente clave de la seguridad de red en la actualidad. Muchas organizaciones no tienen más elección que implementar una estrategia de administración de logs ya que el cumplimiento de normas y regulaciones como SOX o HIPAA dependen de ello. Identificar los problemas y las soluciones El poder monitorear los logs de eventos les da a los administradores una ventaja considerable para la identificación temprana de amenazas, algo que es mejor que investigar los hechos cuando suceden. Una estrategia sólida de registro de eventos es la clave para tener un panorama completo del plan de seguridad de red en cualquier organización. La presencia de monitoreo de eventos en la estrategia de logs ayuda a distinguir un plan proactivo de uno reactivo. Los profesionales de seguridad de red consideran que las amenazas más serias a la seguridad de la red son internas y por lo general se originan en el mismo edificio, incluso en el mismo piso o al otro lado del pasillo. La causa puede ser un empleado molesto, un empleado de liquidación de sueldos curioso o un representante de ventas aburrido. Cuando es externo, probablemente se trate también de los mismos gusanos o virus que atacan una pc hogareña. No nos equivoquemos, los equipos de hardware que combaten las amenazas de malware siguen siendo de ayuda. Sin embargo, un software de administración de logs de eventos más sencillo y económico puede ser tan o incluso más efectivo para
  2. 2. defender la red. De hecho, una estrategia de administración de eventos es más efectiva para combatir ataques internos. Rastrear los ingresos equivocados de contraseña, los accesos a archivos y carpetas, y comparar los inicios y cierres de sesión exitosos contra los fallidos, todas estas funciones pueden manejarse con facilidad mediante una estrategia de mantenimiento de logs integral. Pero muchos no ven que tan efectiva puede ser la administración de eventos cuando se administran los ataques externos de alto perfil. Por ejemplo, un escenario de seguridad sólido podría incluir la presencia de un router de filtrado. Las listas de control de acceso en estos dispositivos permiten el paso de determinado tráfico de IP a un firewall donde los paquetes se inspeccionan y se verifican con otras reglas y listas de control de acceso. Una vez que el tráfico ha pasado por estas capas, pasa a los servidores donde se encuentra la aplicación o el servicio que está en uso. La actividad se registra entonces en uno de los logs de eventos del servidor. Además de registrar eventos desde la aplicación o servicio, durante el paso a través de routers y firewalls, también se generan logs. Es claro que la posibilidad de visualizar, buscar, y recibir alertas de determinados eventos que se generan en estos dispositivos, aplicaciones y servicios es invaluable. Sin embargo, todavía hay una gran cantidad de eventos no peligrosos (“ruido”) que se genera durante el tráfico de red de rutina, que se repite innumerables veces por día. Por lo tanto, contar con una capacidad de monitoreo de logs que pueda discernir es esencial. La automatización del monitoreo de eventos (que fija los parámetros de los eventos relevantes) permite a los administradores actuar con rapidez, y, lo que es más importante, temprano. En el ambiente actual de “malware del mes”, la capacidad de poder distinguir y diferenciar automáticamente a través de los eventos en tiempo real puede determinar que redes sobrevivirán. Conclusión La defensa perimetral con firewalls y routers de filtrado es la primera línea de defensa en el panorama completo de la seguridad de la red, pero una solución sólida y minuciosa de administración de logs de eventos le brinda a los administradores de red y al personal de seguridad de red una herramienta esencial para la resolución de problemas, el diagnóstico y la corrección de posibles problemas, así como para desafíos más cercanos como troyanos, código malicioso y virus. A medida que la infraestructura de las organizaciones continúa creciendo y evolucionando en complejidad, la necesidad de contar con un sistema racional de análisis de datos es fundamental para las operaciones diarias. El personal de IT recibe información y exigencias de cualquier punto de la organización, y los problemas no desaparecen solos. Darle al departamento de IT una herramienta que le permita diagnosticar y resolver problemas es esencial. También beneficia a la alta gerencia, a quién se le exige auditabilidad y responsabilidad. Y si el pasado indica tendencias futuras, estas exigencias serán cada vez mayores. Resumen – Administración de eventos de log de WhatsUp La suite de administración WhatsUp Event Log Management es un conjunto modular de aplicaciones que puede recolectar, almacenar, analizar e informar automáticamente sobre los archivos de eventos de Windows y Syslogs para detectar eventos de seguridad en tiempo real
  3. 3. y responder ante ellos; así como para garantizar el garantizar el cumplimiento normativo y análisis forense histórico. Archivo de eventos (Event Archiver): Automatiza la recolección de logs, el almacenamiento, el resguardo y la consolidación. Soporta auditoría, cumplimiento regulatorio y actividades forenses de log. Alarma de eventos (Event Alarm): Monitorea los archivos de log y recibe alertas y notificaciones en tiempo real. Reacciona con rapidez e inicia procesos de respuesta rápida a caídas de red o amenazas de seguridad. Análisis de eventos (Event Analyst): Analiza e informa sobre datos y tendencias de los logs. Distribuye informes automáticamente a la gerencia, jefes de seguridad, auditores y otros interesados. Explorador de eventos (Event Rover): Consola única para visualizar y extraer datos de logs de todos los equipos, sean estaciones de trabajo o servidores. Soporta análisis forense con fines específicos en base a la tecnología Log Healer, para administrar y reparar archivos de log EVTX de Microsoft potencialmente corruptos.

×