Conceptos básicos del software de monitoreo de registros de eventos y auditoría de logs

Los registros de eventos pueden ayudarte a detectar y solucionar eventos de seguridad para que puedas proteger tus sistemas y datos. Sin embargo, los registros pueden ser difíciles de leer, y los logs tan ruidosos que a menudo tienes que filtrar páginas de eventos para identificar eventos críticos y amenazas potenciales.

Continúe leyendo para aprender más sobre registros de auditoría, análisis de registros y software de auditoría de registros.

¿Qué es un registro de auditoría?

Un registro de auditoría es un libro de cambios y eventos en sistemas de TI. Muchas aplicaciones, servicios, sistemas operativos y network devices generan registros de eventos; ejemplos incluyen los registros de eventos de Microsoft Windows y Syslog. Los gerentes y administradores de TI utilizan los registros de auditoría para detectar actividades sospechosas e investigar incidentes.

El formato de los datos de registro puede variar significativamente entre fuentes, pero los registros generalmente capturan eventos al registrar:

• El momento en que ocurrió el evento
• Detalles sobre qué ocurrió y dónde
• Información sobre qué usuario causó el evento
• Detalles sobre la reacción del sistema, incluyendo mensajes como “Audit Failure”, “Request accepted” o “Access denied”.

Mantener un buen registro de auditoría es tan importante que el Center for Internet Security (CIS) enumera la gestión de registros como uno de sus critical security controls. Además, muchas normas y regulaciones, como el Payment Card Industry Data Security Standard (PCI DSS), la Health Insurance Portability and Accountability Act (HIPAA), la Sarbanes-Oxley (SOX) Act y la Gramm-Leach-Bliley Act— exigen a las empresas crear y mantener registros de auditoría para cumplir con la normativa, y pueden requerir que se cubran categorías específicas de eventos. Por ejemplo, PCI DSS requiere el monitoreo del acceso a los datos de los titulares de tarjetas, y diversas leyes de data privacy law regulan cómo las empresas recopilan, almacenan y comparten los datos de los clientes.

¿Qué implica el monitoreo de registros de auditoría?

La monitorización de registros de auditoría suele consistir en los siguientes pasos:

1. Recolección de registros

El primer paso en el monitoreo de registros de eventos es decidir:

• De qué computadoras, software, dispositivos y otros sistemas recopilar eventos
• Qué configuraciones usar para cada registro, como si usar el tamaño predeterminado del registro
• Cómo se almacenarán y recopilarán los datos
• Cómo deberían verse los ajustes de hora normalizados (fuente y zona horaria)

Aunque podría parecer prudente recopilar toda la información de todas las fuentes, esta estrategia puede resultar bastante costosa debido a la necesidad de almacenar y procesar enormes cantidades de datos. En cambio, las organizaciones deberían determinar cuidadosamente qué eventos recopilar de qué fuentes, equilibrando el deseo de una recolección de datos exhaustiva frente a los costos asociados.

2. Agregación de registros

Una vez que haya comenzado a recopilar datos de registro, necesita agregarlos en un solo lugar. Una buena opción es implementar una solución de gestión de registros que pueda agregar grandes volúmenes de datos de múltiples fuentes.

3. Análisis de registros

A continuación, los archivos de registro agregados deben ser analizados. El ejemplo más sencillo es dividir las cadenas de registro continuas en campos separados.

4. Normalización de registros

Diferentes sistemas utilizan distintos formatos para sus archivos de registro, como CEF, JSON o CSV. Para capacitar a usuarios y sistemas para leer y analizar los datos, es necesario estandarizarlos en un formato común.

5. Correlación de Eventos

La correlación de eventos es el proceso de encontrar relaciones entre eventos en diferentes registros, como los registros de seguridad de Active Directory, registros de firewall y registros de base de datos. Por ejemplo, si experimentaste una caída del servidor, podrías querer identificar qué aplicaciones se vieron afectadas al coincidir los eventos en los registros del servidor y de las aplicaciones.

El tipo más común de correlación de eventos utiliza reglas para hacer coincidir las entradas de registro basándose en el tipo de evento, la marca de tiempo, la dirección IP y otros criterios. La correlación de eventos a menudo se basa en análisis estadístico.

6. Análisis de registros

Finalmente, para centrarse en amenazas reales y otros eventos críticos, necesita analizar sus datos. Las plataformas centralizadas de gestión de registros pueden automatizar y simplificar el proceso de análisis de datos de registros. Utilizan la visualización para resaltar las similitudes y correlaciones entre eventos, facilitando la identificación de problemas, el rastreo de causas raíz y la determinación de acciones de respuesta apropiadas.

Soluciones SIEM para el monitoreo de registros de auditoría

pueden proporcionar una supervisión de registros eficiente y confiable. El software generalmente recopila los datos de registro generados por múltiples fuentes, correlaciona eventos, realiza análisis avanzados de amenazas y ofrece capacidades de alerta, lo que permite a los equipos de TI responder rápidamente.

Sin embargo, las herramientas de monitoreo de registros SIEM tienen algunas desventajas. En particular, a menudo son:

• Complejo y costoso: En comparación con las soluciones de gestión de registros, las herramientas SIEM son más complicadas de operar y configurar. Como resultado, pueden requerir personal dedicado — y costoso —.
• No está diseñado para identificar vulnerabilidades: Los SIEM están construidos para detectar amenazas activas, pero no pueden identificar brechas de seguridad para reducir su superficie de ataque o ayudarle a comprender qué datos son sensibles y requieren protección.
• Probablemente generará falsas alarmas: Las herramientas SIEM pueden generar numerosas falsas alarmas. Los equipos de TI dedicarán enormes cantidades de tiempo investigándolas si las herramientas no están configuradas correctamente.

Amplíe sus capacidades de monitoreo de registros con Netwrix Solutions

Los productos de Netwrix ofrecen un enfoque más holístico para la seguridad que las soluciones SIEM:

• Netwrix Auditor le ayudará a realizar evaluaciones de riesgo regulares para mejorar la seguridad, superar auditorías de cumplimiento y optimizar las operaciones de TI.
• Netwrix Change Tracker le ayudará a establecer y mantener configuraciones seguras de sistemas críticos.
• Netwrix Data Classification identificará y clasificará contenido sensible y crítico para el negocio en toda su organización.
• Netwrix StealthDEFENDy Netwrix Threat Prevention le ayudarán a identificar y responder a comportamientos anormales y ataques avanzados.

FAQ

¿Qué es la auditoría de registros de eventos?

La auditoría de registros de eventos es el proceso de procesamiento y análisis de los registros de los sistemas de TI empresariales.

¿Qué es el monitoreo de registros de auditoría?

La monitorización de registros de auditoría es otro término para la auditoría de registros de eventos. Otro término intercambiable es la auditoría de archivos de registro.

¿Qué le dicen los registros de eventos?

Los registros de eventos contienen información sobre la operación y uso de sistemas operativos, dispositivos y aplicaciones.